Alle Android-Versionen sind betroffen, noch ist kein Patch verfügbar
Die Sicherheitslücke StrandHogg hat es aus (mindestens) zweierlei Gründen in sich: Einerseits weil alle Android-Versionen inkl. der aktuellen Version 10 sowie ein Großteil der Apps verwundbar sind, und andererseits, weil die Attacken oft nicht zu erkennen sind. Das Sicherheitsunternehmen Promon, das die Lücke entdeckt hat, warnt vor aktuell laufenden Angriffen.
Unbemerkte Angriffe auf sensible Daten und Berechtigungen
Die Angreifer hängen sich an legitime Apps an und zeigen nach dem manuellen Start derselben ein täuschend echtes Phishing-Fenster. Dort werden im Namen der legitimen App Berechtigungen erfragt oder Login-Daten angefordert – für die NutzerInnen ist dabei nicht ersichtlich, dass die sensiblen Informationen oder Zugriffsrechte in diesem Moment an die Angreifenden weitergegeben werden. Nach der Dateneingabe landen die User wieder bei der eigentlich gewünschten App – es erfolgt kein Zeichen für eine Infektion oder einen erfolgreichen Angriff.
„Ähnliche Attacken haben wir bereits im Vorjahr gesehen, beispielsweise bei der Banking-Malware Cerberus“, weiß Tibor Elias, Android-Malware-Spezialist bei IKARUS: „Aber während die bereits bekannten Overlay-Angriffe einzelne Komponenten über andere Apps legen, befiehlt StrandHogg dem TaskManager, den Schadcode auszuführen, wenn eine legitime App gestartet wird. Das Fenster der Malware wird im Vordergrund angezeigt, das der harmlosen App wird in den Hintergrund verschoben oder geschlossen“
Fehler im System oder Schwachstelle in der Anwendung?
Möglich wird dieses Szenario durch das Ausnutzen der Standard Task-Funktion taskAffinity und allowTaskReparenting, die es installierten Apps ermöglicht, jede beliebige Identität anzunehmen. Promon hat die Sicherheitslücke laut eigenen Angaben im Sommer an Google gemeldet und bislang keine Informationen zu einem geplanten Sicherheitsupdate erhalten.
„Es gibt kontroverse Meinungen dazu, ob es sich bei StrandHogg um eine Android-Schwachstelle oder ‚nur‘ um eine Sicherheitslücke bzw. Fehlkonfiguration einer Anwendung handelt“, so Tibor Elias. Zum Ausnützen dieser Lücke muss sich aber bereits Schadcode am Gerät befinden, der üblicherweise von sogenannten Dropper Apps mitgeliefert oder nachgeladen wird. Hier greifen die „klassischen“ Sicherheitsempfehlungen für App-Installationen. Auf Google Protect alleine sollten Sie sich nicht verlassen – leider gelingt es bösartigen Apps immer wieder, unter dem Radar des Google-internen Sicherheitsprogrammes durchzuschlüpfen.
Infektionen auch über Google Play möglich
Die Sicherheitsfirma Lookout berichtet von 36 Apps, die die Sicherheitslücke ausnutzen, darunter auch der Banking-Trojaner BankBot. Die identifizierten schädlichen Apps – es werden keine Namen genannt – seien auch auf Google Play zu finden gewesen, wurden aber mittlerweile entfernt. Neben einem professionellen Malware-Scanner für Android, Vorsicht bei der App-Auswahl und gesundem Misstrauen empfehlen wir daher, auch bei der Bedienung des Smartphones oder Tablets aufmerksam zu sein: Achten Sie auf Login-Abfragen, wenn Sie bereits eingeloggt sind, oder wiederholte Anfragen für Berechtigungen. Tipp-Fehler, fehlende oder falsche Logos und nicht funktionierende Schaltflächen oder Links können ebenfalls Hinweise liefern. Im Zweifelsfall können Sie verdächtige Dateien über unsere kostenlose Android-App IKARUS mobile.security an das IKARUS Malware-LAB senden.