Unbekannte haben in verschiedenen Android-App-Stores, darunter auch Googles Play Store, mehr als tausend Spyware-Apps eingestellt. Die Apps sind in der Lage, nahezu sämtliche Aktivitäten eines infizierten Geräts zu überwachen, wie Forscher des Sicherheitsanbieters Lookout herausgefunden haben. Die SonicSpy genannte Schadsoftware kann demnach aus der Ferne gesteuert werden und 73 unterschiedliche Befehle ausführen.
Die Schadprogramme werden von ihren Hintermänner, die Lookout im Irak vermutet, als Messaging-Anwendungen getarnt. Sie bieten sogar die beworbenen Funktionen, um zu verhindern, dass Opfer die Apps als Malware erkennen. Im Hintergrund übertragen die Messenger-Apps jedoch persönliche Daten an einen Befehlsserver der Hacker im Internet.
Im Play Store entdeckten die Forscher drei aktive, gefährliche Apps mit den Namen „Soniac“, „Hulk Messenger“ und „Troy Chat“, die Google inzwischen gelöscht hat. In App Stores von Drittanbietern seien jedoch noch zahlreiche Varianten der SonicSpy-Apps erhältlich. Lookout schätzt, dass tausende Geräte infiziert wurden. Alleine die App Soniac kam im Play Store auf 1000 bis 5000 Downloads . Aufgrund der legitimen Funktionen erreichte sie sogar eine durchschnittliche Bewertung von 4,1 von 5 möglichen Sternen.
SonicSpy basiert auf odifizierter Version des Messengers Telegram
Wird SonicSpy auf einem Android-Smartphone oder –Tablet installiert, versteckt sich die Malware, indem sie ihr Launcher-Icon verbirgt. Über ihren Befehlsserver lädt sie eine modifizierte Version des Messengers Telegram herunter. Diese App bringt die beworbenen Messaging-Features und auch die schädlichen Funktionen. Unklar ist laut Lookout, ob es die Täter auf bestimmte Nutzer abgesehen haben oder ob sie versuchen, Daten von so viel Nutzern wie möglich zu sammeln.
Bei der Analyse des Codes von SonicSpy fanden die Forscher zudem Übereinstimmungen mit einer anderen Spyware namens Spynote, die erstmals Mitte 2016 beschrieben wurde. Unter anderem nutzen beide dynamische DNS-Dienste und sowie den wenig gebräuchlichen Port 2222. Lookout geht deswegen davon aus, dass die Programme von derselben Hackergruppe stammen. Die Gruppe, die sich selbst „Iraqwebservice“ nennt, habe zudem schon früher Schadcode in Apps mit legitimen Funktionen versteckt.
Michael Flossman, Security Research Services Tech Lead bei Lookout, schließt nicht aus, dass SonicSpy-Apps erneut ihren Weg in den Play Store finden. „Die Hintermänner haben gezeigt, dass sie in der Lage sind, Spyware in den offiziellen Store einzuschleusen, und da sie aktiv weiterentwickelt wird und automatisierte Prozesse nutzt, ist es wahrscheinlich, dass SonicSpy künftig wieder auftaucht.“
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
5 Kommentare zu Hacker überfluten Android-App-Stores mit Spyware-Apps
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Da frage ich mich, wie kann es sein, dass Google solche Apps zulässt? Das am weitesten verbreitete Mobile OS wird vom Hersteller in Sachen Sicherheit im Stich gelassen.
So? Die Apps sind doch raus aus dem PlayStore, was in anderen Stores rumgeisterst ist ja wohl nicht die Angelegenheit von Google.
UND… was ist das für eine reißerische Bildzeitungsüberschrift?
Selbst wenn die Apps von 5000 Leuten heruntergeladen worden wäre (wobei sich die genannten Apps wohl an den vorderen Orient richten – vlt. hat man ja hier den Versuch von CIA oder Mossad aufgedeckt die „sichere“ Messenger an Terroristen verteilen wollten…) dann wären das 0,004% der User.. Ja, da muss man Panik machen. Herrjeh.
Hallo,
es geht hier nicht in erster Linie nicht um die Anzahl der letzendlich betroffenen Nutzer, es geht um die große Anzahl an infizierten Apps, die platziert werden konnte. Daher halten wir „überfluten“ nicht unbedingt für reißerisch, sondern durchaus angemessen.
Peter Marwan
Redaktion ZDNet.de
Kleine Rechenaufgabe: „mehr als tausend Spyware-Apps eingestellt. … Alleine die App Soniac kam im Play Store auf 1000 bis 5000 Downloads .“
1.000 x 1.000 = 1.000.000 Downloads.
1.000 x 5.000 = 5.000.000 Downloads.
Und das hätte wohl auch weiterlaufen können.
Panik scheint eher Dich zu befallen, dass Du das Problem kleinreden willst. Dass 1.000 Apps unerkannt Malware verbreiten, das ist ein ernstes Problem.
Was, wenn es andere Apps betroffen hätte, die deutlich höhere Downloadzahlen haben? Dann wären da draußen etliche Millionen Malware-behaftete Android User – die davon nichts wissen.
Sorry, aber das ist ein ernstes Problem, das die Gründlichkeit der Prüfung von Apps im Playstore ernsthaft in Frage stellt.
Und Du tust gerade so, als wäre nur der Play Store von Google alleine betroffen.
Dabei steht doch eindeutig im Bericht etwas von DREI entdeckten Apps im Play Store!!!
Der Rest verteilt sich doch danach dann eindeutig auf die freien App Stores.
Wer eben meint, seine Apps außerhalb vom Play Store beziehen zu müssen, geht halt ein noch viel höheres Risiko ein.
Und es hat solche Meldungen über entdeckte Apps mit Schadcode im Apple Store auch schon mehrfach gegeben!!!
Also brauchst Du hier gar nicht auf „Rechenkünstler“ zu machen, PeerH.
Der letzte Artikel, hier auf ZDNet ist noch gar nicht so lange her. ;-)
Da hat sich aber keiner der Leser die Mühe gemacht, irgendwelche seltsamen Rechenbeispiele zu hinterlassen.
Nicht mal DU hast Dich dazu gemeldet.
Du brauchst mir auch gar nicht damit zu kommen, von wegen Problem kleinreden, Deine lächerlichen Attacken kannst Du Dir sparen. Es ist zwar ein Problem, aber was den Play Store betrifft ein sehr kleines Problem!