Spionierende Radio-Streaming-Apps basieren auf Remote-Access-Tool AhMyth

Android-Spyware trickst Google Plays Sicherheitssystem aus

26. August 2019, 9:00 Uhr | Von Dr. Jörg Schröper.

Google hat in den vergangenen Jahren zweifellos viel für die Sicherheit seines Stores und gegen manipulierte Apps getan, so die Sicherheitsexperten von Eset. Der Google Play Store gelte als sicherste Quelle für den Download von Android-Apps. Für Anwender wird es brandgefährlich, wenn selbst dort infizierte Software angeboten wird - wie im Fall der angeblichen Radio-Streaming-Apps "Balouchi Music" geschehen. Die Eset-Forscher haben nach eigenen Angaben die ersten bekannten Fälle von Spyware auf der Grundlage des Open-Source-Spionage-Tools AhMyth entdeckt. Diese spezielle Spyware tarnt sich als Internet-Radio-App für Freunde der spezifischen Balochi-Musik. Ihre Spionagefunktionen lassen sich leicht mit jeder anderen App verbinden.

Google hat nach einem Hinweis von Eset die betreffenden Apps sofort entfernt. Der Vorfall zeigt laut den Forschern zweierlei: Zum einen kann selbst Googles Sicherheitsprüfungsprozess keinen hundertprozentige Sicherheit garantieren. Zum anderen ist jeder Anwender daher gut beraten, eine professionelle Security-Lösung auf seinen Android-Smartphones und -Tablets zu installieren.

Die Malware-Funktionalität der Radio-Balouch-App basiert auf dem seit Ende 2017 öffentlich verfügbaren Remote-Access-Tool AhMyth. Seitdem entdeckten Eset-Forscher verschiedene, darauf aufbauende Malware-Apps. Radio Balouch sei allerdings die erste ihrer Art, die es tatsächlich in den Google Play Store schaffte.

ESET_Balouchi_Music_infizierte_App
Die Eset-Forscher haben nach eigenen Angaben die ersten bekannten Fälle von Spyware auf der Grundlage des Open-Source-Spionage-Tools AhMyth entdeckt. Bild: ESET

Esets Mobile-Security-Lösung für Android-Geräte schütze seine User bereits seit Januar 2017 vor AhMyth und Varianten davon, so die Sicherheitsspezialisten weiter. Die Software erkennt die Malware als Android/Spy.Agent.AOX.

Die Spyware-App läuft unter Android 4.2 und höheren Versionen. Sie ermöglicht Cyberkriminellen das Stehlen von Kontaktdaten und Dateien vom Smartphone sowie das Senden von SMS-Kurznachrichten vom kompromittierten Gerät. Theoretisch kann die App auch die gespeicherten SMS-Nachrichten einsehen. Allerdings funktioniere dies nur für die Standard-SMS-App, da Google die Android-Geräte-Rechte in der Vergangenheit angepasst hat.

Im Google Play Store entdeckte Eset gleich zwei unterschiedliche Radio-Balouch-Apps. Beide wurden jeweils mehr als hundert Mal installiert. Die zuerst erschienene App meldete der Sicherheitsspezialist dem Google-Security-Team am 2. Juli 2019. Innerhalb von 24 Stunden entfernten die Google-Spezialisten die bösartige Anwendung. Die Angreifer haben die App kurze Zeit drauf wieder in Google Play geschleust. "Wir haben auch die zweite App mit dieser Malware entdeckt und gemeldet, die dann schnell entfernt wurde. Die Tatsache, dass es die Entwickler zwei Mal geschafft haben, diese offensichtliche Malware wieder in Google Play zu bringen, ist beunruhigend", sagt Luká? ?tefanko, Malware Researcher bei Eset.

Detaillierte Informationen sich auch unter www.welivesecurity.com/deutsch/2019/08/22/android-spyware-google-play-store/.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Devicelock

Weitere Artikel zu Fela Planungs AG

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Matchmaker+