Bitdefender: Android-Spyware hört Telefonate ab und stiehlt Fotos

Bitdefender warnt vor einer neuen Android-Spyware, die mindestens seit Mai im Umlauf ist. Die Triout genannte Spionagesoftware ist in der Lage, Telefonate aufzuzeichnen, Textnachrichten abzufangen, Fotos und Videos zu stehlen und sogar Standortdaten von Nutzern zu sammeln. Sie versteckt sich in einer legitimen App und wird derzeit offenbar im Rahmen einer zielgerichteten Spionagekampagne eingesetzt.

Die fragliche App wurde 2016 sogar im Google Play Store angeboten – später wurde sie jedoch aus dem Marktplatz entfernt. Sie verfügt jedoch weiterhin über eine gültiges Google-Debug-Zertifikat.

Unklar ist, wie die App aktuell verbreitet wird und wie oft sie bereits auf Android-Geräten installiert wurde. Die Forscher gehen derzeit davon aus, dass sie in App-Marktplätzen von Drittanbietern erhältlich ist oder auf von den Angreifern kontrollierten Domains gehostet wird.

Verbreitet wurden die ersten von Bitdefender gefundenen Triout-Samples von Russland aus, was aber kein Beleg dafür ist, dass die Spyware auch dort entwickelt wurde. Die meisten Ziele befinden sich indes in Israel, was darauf hindeuten könnte dass es sich um eine Kampagne gegen Ziele in Israel handelt. Klar ist laut Bitdefender jedoch, dass die Hintermänner auf die für eine fortschrittliche Spionagesoftware benötigten Kenntnisse und Ressourcen verfügen.

„Wir gehen davon aus, dass es sich um eine Spionagekampagne handelt, da die Malware in der Lage ist, aufgezeichnete Telefonate hochzuladen. Dies ist für einen kommerziellen Akteur wegen der Vielfalt der Sprachen, in denen er die Anrufe erhalten würde, nicht umsetzbar“, sagte Bogdan Botezatu, leitender Threat Analyst bei Bitdefender, im Gespräch mit ZDNet. „Da die Anwendung Anrufe aufzeichnet und Kurzmitteilungen entgegennimmt, gehen wir davon aus, dass derjenige, der die Informationen erhält, in der Lage ist, sie zu übersetzen und die gesammelten Informationen zu verstehen.“

Die fragliche App – ein Sex-Spiel – verfügt laut Bitdefender über alle Funktionen, die Nutzer von der App erwarten. Darüber hinaus bietet sie alle Funktionen einer Spionage-App, die nahezu beliebige Daten sammeln und an einen Server im Internet übertragen kann. Konkret soll Triout nicht nur Mitschnitte aller Telefonate verschicken, sondern auch jedes aufgenommene Foto automatisch weiterleiten – letzteres sogar zusammen mit den aktuellen Standortdaten.

Forscher haben Zugriff auf Quellcode von Triout

In einem wichtigen Punkt soll die App jedoch eine Schwäche zeigen. Nach dem Entpacken der APK-Installationsdatei soll Triout seinen gesamten Quellcode preisgeben. Die Hintermänner sollen nicht versucht haben, den Schadcode zu verstecken. Die Forscher nehmen deswegen an, dass sich Triout noch in der Entwicklung befindet und seine Entwickler neue Funktionen testen. Die Kampagne sei zudem weiterhin aktiv.

Nutzer können sich vor derartiger Schadsoftware schützen, indem sie Anwendungen aus unbekannten Quellen strikt meiden und auch bei der Installation von Apps aus Quellen wie dem Play Store eine gewisse Vorsicht walten lassen. Das gilt auch für die Vergabe von Berechtigungen wie dem Zugriff auf Sensoren, Telefon und Kurznachrichten. Solche Berechtigungen sollten nur gewährt werden, wenn sie nachweislich für gewünschte Funktionen einer App benötigt werden.