Play Store

System Update: Android-Spyware drei Jahre unentdeckt im Play Store

Im US-amerikanischen Play Store befand sich seit mindestens drei Jahren eine unerkannte Spyware-App, die sich als System Update für Android-Smartphones tarnte. Google hat die App mittlerweile aus dem Play Store entfernt.
Von Ulrike Michel

System Update: Android-Spyware im Google Play Store System Update: Android-Spyware im Google Play Store
Screenshot: zscaler.com Die Sicherheitsforscher von Zscaler hatten im US-amerikanischen Google Play Store die SMS-basierte Spyware-App SMSVova entdeckt, die seit 2014 zwischen einer und fünf Millionen Downloads verzeichnen konnte. Das Perfide: die App tarnte sich mit dem Namen "System Update" als aktuelles Software-Update für Android-Smartphones - tatsächlich war sie aber darauf ausgelegt, die genauen Standort-Daten des Nutzers auszuspionieren und in Echtzeit an einen potentiellen Angreifer weiter­zuleiten.

System Update: Android-Spyware im Google Play Store System Update: Android-Spyware im Google Play Store
Screenshot: zscaler.com Aufmerksam wurden die Forscher unter anderem durch Bewertungen und Kom­men­tare von hinters Licht geführten Nutzern im Play Store und durch die Aufmachung der zugehörigen Play-Store-Seite, die leere Screenshots und keine App-Beschreibung enthielt, sondern lediglich den irreführenden Hinweis: "This application updates and enables special location features". Nachdem Google die Sicherheitswarnung vom Zscaler-Team erhalten hatte, wurde besagte App aus dem Play Store entfernt.

So funktionierte die Spionage-App SMSVova

Sobald Nutzer die aus dem Play Store herunter­gela­dene App auf ihrem Gerät starten wollten, gab diese vor, den Installations­prozess abzubrechen und meldete, dass das Update gescheitert sei: "Unfortunately, Update Service has stopped". Danach war die App auf dem Homescreen nicht mehr sichtbar.

Die Spyware-App täuschte vor, nicht installiert zu werden. Die Spyware-App täuschte vor, nicht installiert zu werden.
Screenshot: zscaler.com Entgegen der Fehlermeldung wurde die App aber tatsächlich installiert und veränderte beim Installationsprozess ohne nochmalige Nachfrage verschiedene Einstellungen zur Standort-Abfrage und dem SMS-Empfang. Als Resultat war es einem Angreifer dann möglich, eine SMS mit dem Inhalt "get faq" an das infizierte Gerät zu senden und die App mit dem Ausführen von Kommandozeilen antworten zu lassen. Ein anderer möglicher Zugang bestand darin, bei niedrigem Batterie­stand eine Standort-Meldung (Location allert) aus­zu­lösen. Außerdem konnte die Spyware-App vom Angreifer mit einem Passwort geschützt oder auf diese von außen mit dem Default-Passwort "Vova" zugegriffen werden. Nach Einstellen von Telefonnummer und Passwort, konnte die App dann mit dem Senden der Standort­daten an den Angreifer beginnen.

Vor allem die SMS-basierte Funktionsweise verhinderte vermutlich, dass die App von den Antiviren­scannern aufgespürt werden konnte und hat dafür gesorgt, dass auch Google die Spyware solange in seinem App-Store übersah. Auffällig war für das Analyse-Team von Zcaler zudem noch ein weiterer Punkt: Die App enthielt einige Befehlszeilen des Remote-Administration-Tools DroidJack, das sich vor einigen Jahren als Trojaner-Software im Zusammenhang mit einem ebenfalls gefakten Stagefright-Update entpuppte und dem nach damaliger Einschätzung der Sicher­heits­experten eine Bedeutung für das Phishing von mTAN im Online-Banking nachgesagt wurde.

Mehr zum Thema Virus