Ein Sicherheitsforscher hat eine Proof-of-Concept-App für Android geschrieben, die Dritten eine Fernsteuerung des Geräts ermöglicht. Die Anwendung fragt Nutzer bei der Installation nicht um Erlaubnis, gibt Hackern aber Zugriff.

Die App nutzt eine bekanntes Problem in Androids Websuche aus, um einen Zweiwege-Kommunikationskanal mit einem Dritten aufzubauen, wie Thomas Cannon, Direktor für Forschung und Entwicklung von ViaForensics, im Gespräch mit ZDNet erklärt. „Allein kann dieser Angriff jede Information auf der SD-Karte auslesen, ebenso wie Daten, die mit anderen Apps geteilt werden, oder auch limitierte Informationen über das Gerät. Kombiniert mit anderen Schwachstellen, lässt er sich ausbauen – etwa später ein Root-Exploit herunterladen und die volle Kontrolle über das Gerät übernehmen.“

Eine weitere mögliche Aktion der Malware sei das Versenden teurer Premium-SMS, sagte Cannon. Google hat seit Anfang Dezember insgesamt 27 betrügerische Apps aus dem Android Market entfernt, die dazu in der Lage waren. Entdeckt hatte sie das Sicherheitsunternehmen Lookout.

Wenn ein Nutzer eine Android-App herunterlädt, fordert sein Gerät ihn im Normalfall auf, der Anwendung Zugriff auf die für den Betrieb nötigen Funktionen zu geben – etwa Standort, Gerätespeicher oder Kamera. So wird der Anwender schneller auf betrügerische Programme aufmerksam.

Ist Cannons Proof-of-Concept-App erst heruntergeladen, öffnet sie einen Kommunikationskanal, indem sie den Webbrowser startet, sobald der Bildschirm des Geräts gesperrt ist. Es öffnet sich eine Shell, die einen halb verborgenen Zugriff erlaubt, wie der Sicherheitsforscher gegenüber ZDNet erkärte. „Der Proof-of-Concept ist deswegen nicht komplett verborgen, weil der Webbrowser während des Angriffs im Vordergrund laufen muss. Ist dieser vorüber, kann man alles wieder so aussehen lassen, als sei nichts gewesen.“ Technisch bleiben demnach aber Spuren der Attacke zurück, die der Nutzer finden kann, wenn er danach sucht.

Nach eigenen Angaben hat Cannon den Exploit mit allen Android-Versionen getestet – von 1.5 Cupcake bis 4.0 Ice Cream Sandwich – und er funktioniert auf allen Plattformen ähnlich. Dabei nutzt er eine Funktion von Android aus. „Die App verwendet keine Sicherheitslücke als solche; sie ruft den Browser auf und gibt die Server-URL des Angreifers weiter“, erläutert Cannon. „Nur, dass die URL die Daten enthält, die der Angreifer haben will.“

Der Browser wird demnach an ein maßgeschneidertes URL-System weiterverwiesen, das die Anwendung registriert hat (etwa myapp://host/some+data). Dieses kommuniziert mit der Anwendung und gibt die Daten aus der URL weiter. Cannon: „So wird die Zweiwege-Verbindung geschaffen.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago