SpyNote: Neue Version des Android-Trojaners verhindert Deinstallation

F-Secure macht auf eine neue Version des Android-Trojaners SpyNote aufmerksam. Seit Anfang des Jahres wurde die Malware offenbar „erfolgreich“ weiterentwickelt. Inzwischen ist es den Sicherheitsforschern zufolge selbst mit Tricks wie den Entwickler-Optionen von Android nicht mehr möglich, SpyNote von einem kompromittierten Gerät zu entfernen.

Die zuvor bereits vorhandenen umfangreichen Funktionen wurden offenbar nicht erweitert. SpyNote ist immer noch in der Lage, Anrufe und Tastatureingaben aufzuzeichnen, Standortdaten abzugreifen, Anmeldedaten auszulesen oder Screenshots zu erstellen, um an Banking-Daten seiner Opfer zu kommen.

Die Verbreitung erfolgt F-Secure zufolge aktuell per Smishing, also durch Phishing per SMS-Nachrichten. Die schädlichen SMS leiten Nutzer zu einem direkten Download einer Android-Installationsdatei im APK-Format. In den offiziellen Android-Marktplatz Google Play haben es die Hintermänner bisher nicht geschafft.

Fällt ein Opfer auf die Betrugsmasche herein und gewährt der App auch die geforderten Berechtigungen für Bedienungshilfen, lässt sich SpyNote nicht mehr entfernen. Im App-Launcher taucht die SpyNote-App erst gar nicht auf. Über die Einstellungen-App ist eine Deinstallation ebenfalls nicht möglich – die Berechtigungen für die Bedienungshilfen erlaubt es dem Trojaner, das Apps-Menü zu schließen, sobald es aufgerufen wird.

Auch eine Löschung über die Entwickler-Optionen, über die eine Steuerung eines Android-Geräts per Terminal von einem verbundenen PC aus möglich ist, scheitert. Durch die umfangreichen Berechtigungen richtet sich die Malware als sogenannter „Diehard Service“ ein. Sobald versucht wird, die App zu beenden, wird sie automatisch neu gestartet. „Dem Opfer bleibt schließlich nur noch die Möglichkeit, einen Werksreset durchzuführen und dabei alle Daten zu verlieren“, teilte F-Secure mit.