StrandHogg ist eine vor kurzem von Promon entdeckte und neue Android-Malware bzw. Sicherheitslücke im Android Betriebssystem.
Die StrandHogg-Sicherheitslücke
Das Gemeine an dieser neuen Malware ist die Tatsache, dass die Opfer meist nicht einmal merken, dass sie angegriffen werden, bzw. ihr Gerät mit Schadcode infiziert ist. Es sind auch keine Root-Rechte nötig, damit die bösartige Malware auf unsere Daten zugreifen kann. Denn alle hierfür benötigten Rechte geben wir der Malware freiwillig und ohne unser Wissen. Cybersecurity-Forscher von Promon haben vor kurzem erst herausgefunden, wie genau diese Malware vorgeht und was sie so gefährlich macht.- Alle Android Versionen ab Android 6 sind betroffen, inkl. Android 10
- die 500 beliebtesten Play Store-Apps sind gefährdet
- die Sicherheitslücke wird bereits aktiv von Malware ausgenutzt
- 36 bösartige Apps, die die Sicherheitslücke ausnutzen, wurden bereits identifiziert (und entfernt)
- die Sicherheitslücke kann ohne Root-Zugriff ausgenutzt werden.
- uneingeschränkter Zugriff auf das Mikrofon
- die Malware kann jederzeit Fotos mit der Kamera machen
- das Lesen und das Senden von SMS-Nachrichten
- Telefongespräche führen und / oder aufzeichnen
- das Abgreifen von sämtlichen Anmeldeinformationen
- Zugriff auf alle privaten Fotos und Dateien auf dem Gerät
- Standort- und GPS-Informationen in Echtzeit
- Zugriff auf die komplette Kontaktliste
- Zugriff auf alle Telefonprotokolle
Wie genau schafft es die Malware uns auszutricksen?
Der Schadcode nutzt für seine bösen Absichten eine neue und noch nicht gepatchte Sicherheitslücke in einer Android-Funktion namens TaskAffinity aus. Diese Funktion wird benötigt, um Multitasking auf unseren Androiden zu unterstützen. Erst durch diese Sicherheitslücke ist es dem Schadcode möglich, sich als legitime App auszugeben. Das diese Sicherheitslücke für die Malware sehr einfach auszunutzen ist, haben uns die Sicherheitsforscher von Promon in einem PoC (Proof of Concept)-Video eindrucksvoll bewiesen: Die Wahrscheinlichkeit, dass ein unachtsamer Nutzer einer ihm bekannten und eigentlich vertrauenswürdigen App erneut die geforderten Berechtigungen erteilt, ist leider sehr groß. Das zusammen mit der Tatsache, dass der Schadcode keinerlei Root-Rechte benötigt, macht diese Malware so gefährlich für uns.„Die Sicherheitslücke ermöglicht es einem Angreifer, sich als nahezu jede App in höchst glaubwürdiger Weise auszugeben„. (Promon)Google hat sich zwar wieder sehr beeilt, die bereits entdeckten 36 Apps schnell aus seinem App Store zu entfernen. Man ist aber noch nicht sicher, ob sich dort nicht noch mehr bösartige bzw. mit Schadcode verseuchte Apps verstecken. Auch hat Google die Sicherheitslücke in der Firmware bislang noch nicht gepatcht.
Kann ich erkennen, ob die Sicherheitslücke auf meinem Gerät ausgenutzt wird?
Laut den Sicherheitsforschern von Promon, ist das derzeit nicht möglich (siehe FAQ). Auf unserem Handy, bzw. unserem Androiden selbst gibt es keine effektive Blockierung oder gar zuverlässige Erkennungsmethode von StrandHogg. Aufmerksame Handy-Nutzer können während der Verwendung ihres Geräts aber Unstimmigkeiten feststellen, darunter:- eine App oder ein Dienst, bei dem ihr bereits angemeldet seid, fordert eine erneute Anmeldung
- Berechtigungs-Popups, die keinen App-Namen enthalten
- Von einer App angeforderte Berechtigungen, die sie eigentlich nicht benötigen sollte. Zum Beispiel eine Taschenrechner-App, die nach einer GPS-Erlaubnis fragt
- Tippfehler und Fehler in der Benutzeroberfläche
- Schaltflächen und Links in der Benutzeroberfläche, die beim Klicken nichts bewirken
- die Zurück-Taste funktioniert nicht wie erwartet.