Malware-App für Android hebelte Googles Schutzmechanismen aus
Die vom Spähsoftwarehersteller Hacking Team entwickelte schädliche Anwendung setzt auf eine Technik zum Nachladen von ausführbarem Code. Sie tarnte sich als eine gefälschte Nachrichten-App namens BeNews. Sie hat auch Googles Sicherheitsprüfung für den Play Store bestanden, da sich in ihrem Code kein Exploit findet.
Bei der Auswertung der im Internet publizierten Unterlagen von Hacking Team hat Trend Micro jetzt auch Einzelheiten zu einer dynamisch ausführbaren Schadsoftware für Android entdeckt. Der italienische Hersteller von Spähsoftware hat die Malware demzufolge in eine harmlose App namens BeNews eingebettet. Letztere konnte in Googles Play Store heruntergeladen werden.
Bei der Installation verlangte die App Trend Micro zufolge nur drei Berechtigungen. Die automatischen Sicherheitskontrollen von Google konnte sie aushebeln, da ihr Code keinen Exploit beinhaltete.
Die gefälschte Nachrichten-App wurde am 7. Juli aus Google Play entfernt. Trend Micro schreibt in einem Blogbeitrag</a:. "Angesichts der App-Routinen glauben wir, dass die App durch eine dynamische Lade-Technologie die Beschränkungen für Google Play umgehen konnte."
Diese dynamische Ladetechnologie ermögliche es einer App, Teile ihres Codes aus dem Internet herunterzuladen und auszuführen, führt Trend Micro weiter aus. Der Code werde jedoch nicht während Googles Prüfung geladen, sondern erst dann an den Betroffenen ausgeliefert, wenn der die App starte.
Hacking Team soll seine Kunden nicht nur eine Anleitung für die Nutzung der App, sondern auch ein Google-Play-Konto bereitgestellt haben. Die App verwendet eine bekannte Sicherheitslücke (CVE-2014-3153) in Android 2.2 bis 4.4.4, die eine unautorisierte Erweiterung von Nutzerrechten erlaubt.
Die knapp 400 GByte an Daten, die Hacking Team entwendet wurden und die seit rund zwei Wochen im Internet im Umlauf sind, geben nicht nur Auskunft über Kunden des Unternehmens, sondern sie haben außerdem auch zahlreiche Sicherheitslücken enthüllt. Adobe, Microsoft und Oracle haben seither Zero-Day-Lücken in Flash Player, Internet Explorer und Java schließen müssen. Trend Micro entdeckte überdies ein UEFI-BIOS-Rootkit, dass sicherstellen sollte, dass die Spähsoftware des Unternehmens auch noch nach einer Festplattenformatierung des Zielsystems einsatzfähig bleibt.
In einem Interview hob Hacking-Team-CEO David Vincenzetti hervor, dass sein Unternehmen missverstanden werde. Sie seien tatsächlich “die Guten”. “Die rechtmäßigen Überwachungssysteme, die Hacking Team seit mehr als zehn Jahren an Strafverfolger liefert, sind entscheidend für die Verhinderung und Ermittlung von Verbrechen und Terrorismus”, heißt es zusätzlich auf der Website des Unternehmens. Niemand sonst habe je eine so leistungsfähige und umfassende Überwachungslösung entwickelt wie Hacking Team.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de