StrandHogg
StrandHogg

StrandHogg: Schadcode befällt Androiden mit aktuellem Sicherheitspatch

StrandHogg ist eine vor kurzem von Promon entdeckte und neue Android-Malware bzw. Sicherheitslücke im Android Betriebssystem.

StrandHogg ist eine vor kurzem von Promon entdeckte neue Android-Malware bzw. Sicherheitslücke im Android Betriebssystem. Selbst neue Android-Geräte mit aktuellen Sicherheitspatches sind davon betroffen. Die heimtückische Malware hat es auf unsere Bankdaten und Anmeldeinformationen abgesehen.

Die StrandHogg-Sicherheitslücke

StrandHogg-Phishing
Das Gemeine an dieser neuen Malware ist die Tatsache, dass die Opfer meist nicht einmal merken, dass sie angegriffen werden, bzw. ihr Gerät mit Schadcode infiziert ist. Es sind auch keine Root-Rechte nötig, damit die bösartige Malware auf unsere Daten zugreifen kann. Denn alle hierfür benötigten Rechte geben wir der Malware freiwillig und ohne unser Wissen. Cybersecurity-Forscher von Promon haben vor kurzem erst herausgefunden, wie genau diese Malware vorgeht und was sie so gefährlich macht.
  • Alle Android Versionen ab Android 6 sind betroffen, inkl. Android 10
  • die 500 beliebtesten Play Store-Apps sind gefährdet
  • die Sicherheitslücke wird bereits aktiv von Malware ausgenutzt
  • 36 bösartige Apps, die die Sicherheitslücke ausnutzen, wurden bereits identifiziert (und entfernt)
  • die Sicherheitslücke kann ohne Root-Zugriff ausgenutzt werden.
Sobald wir eine mit dem Schadcode infizierte App auf unserem Androiden installieren, wird sich die Malware anfangs erst einmal unauffällig verhalten. Sie wird versuchen herauszufinden, welche Apps wir bereits installiert haben und auch am meisten nutzen. Sobald die Malware eine für sie interessante App entdeckt hat, wartet sie darauf, dass wir die App das nächste Mal aufrufen. In diesem Moment wird der Schadcode aktiv. Ein Fenster wird eingeblendet und bittet uns erneut Berechtigungen für die uns bekannte App zu erteilen. Sobald wir diesen Berechtigungen zustimmen, geben wir den „Bösen Buben“ uneingeschränkten Zugriff auf unser Handy. Dazu gehört:
  • uneingeschränkter Zugriff auf das Mikrofon
  • die Malware kann jederzeit Fotos mit der Kamera machen
  • das Lesen und das Senden von SMS-Nachrichten
  • Telefongespräche führen und / oder aufzeichnen
  • das Abgreifen von sämtlichen Anmeldeinformationen
  • Zugriff auf alle privaten Fotos und Dateien auf dem Gerät
  • Standort- und GPS-Informationen in Echtzeit
  • Zugriff auf die komplette Kontaktliste
  • Zugriff auf alle Telefonprotokolle

Wie genau schafft es die Malware uns auszutricksen?

Der Schadcode nutzt für seine bösen Absichten eine neue und noch nicht gepatchte Sicherheitslücke in einer Android-Funktion namens TaskAffinity aus. Diese Funktion wird benötigt, um Multitasking auf unseren Androiden zu unterstützen. Erst durch diese Sicherheitslücke ist es dem Schadcode möglich, sich als legitime App auszugeben. Das diese Sicherheitslücke für die Malware sehr einfach auszunutzen ist, haben uns die Sicherheitsforscher von Promon in einem PoC (Proof of Concept)-Video eindrucksvoll bewiesen:
Die Wahrscheinlichkeit, dass ein unachtsamer Nutzer einer ihm bekannten und eigentlich vertrauenswürdigen App erneut die geforderten Berechtigungen erteilt, ist leider sehr groß. Das zusammen mit der Tatsache, dass der Schadcode keinerlei Root-Rechte benötigt, macht diese Malware so gefährlich für uns.
Die Sicherheitslücke ermöglicht es einem Angreifer, sich als nahezu jede App in höchst glaubwürdiger Weise auszugeben„.  (Promon)
Google hat sich zwar wieder sehr beeilt, die bereits entdeckten 36 Apps schnell aus seinem App Store zu entfernen. Man ist aber noch nicht sicher, ob sich dort nicht noch mehr bösartige bzw. mit Schadcode verseuchte Apps verstecken. Auch hat Google die Sicherheitslücke in der Firmware bislang noch nicht gepatcht.

Kann ich erkennen, ob die Sicherheitslücke auf meinem Gerät ausgenutzt wird?

Laut den Sicherheitsforschern von Promon, ist das derzeit nicht möglich (siehe FAQ). Auf unserem Handy, bzw. unserem Androiden selbst gibt es keine effektive Blockierung oder gar zuverlässige Erkennungsmethode von StrandHogg. Aufmerksame Handy-Nutzer können während der Verwendung ihres Geräts aber Unstimmigkeiten feststellen, darunter:
  • eine App oder ein Dienst, bei dem ihr bereits angemeldet seid, fordert eine erneute Anmeldung
  • Berechtigungs-Popups, die keinen App-Namen enthalten
  • Von einer App angeforderte Berechtigungen, die sie eigentlich nicht benötigen sollte. Zum Beispiel eine Taschenrechner-App, die nach einer GPS-Erlaubnis fragt
  • Tippfehler und Fehler in der Benutzeroberfläche
  • Schaltflächen und Links in der Benutzeroberfläche, die beim Klicken nichts bewirken
  • die Zurück-Taste funktioniert nicht wie erwartet.
Hier ist der beste Schutz also mal wieder nicht irgend eine Antivirus- bzw. eine Anti-Malware-App. Am besten schützen wir uns, indem wir unseren Kopf einsetzen. Bitte erst denken und dann klicken. Meistens sind es ja immer dieselben Apps, die wir im Alltag nutzen. Fällt uns wie oben beschrieben auf, dass eine dieser Apps überraschend erneut eine bestehende oder eine seltsame Berechtigung verlangt, so sollten unsere Alarmglocken klingeln. Sich schützenEs kann nie schaden zweimal hinzuschauen, bevor man irgendwo klickt und einer App eine Berechtigung erteilt. Dabei spielt es keine Rolle, ob wir sie neu installiert haben, oder ob wir sie schon seit Jahren benutzen. Beitragsbild: StrandHogg from Promon, thx! Tarnkappe.info
Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.