Achtung Android-User: Sicherheitslücke StrandHogg wird aktiv ausgenutzt

4. Dezember, 2019

AndroidAlle Android-Versionen sind betroffen, noch ist kein Patch verfügbar

Die Sicherheitslücke StrandHogg hat es aus (mindestens) zweierlei Gründen in sich: Einerseits weil alle Android-Versionen inkl. der aktuellen Version 10 sowie ein Großteil der Apps verwundbar sind, und andererseits, weil die Attacken oft nicht zu erkennen sind. Das Sicherheitsunternehmen Promon, das die Lücke entdeckt hat, warnt vor aktuell laufenden Angriffen.

Unbemerkte Angriffe auf sensible Daten und Berechtigungen

Die Angreifer hängen sich an legitime Apps an und zeigen nach dem manuellen Start derselben ein täuschend echtes Phishing-Fenster. Dort werden im Namen der legitimen App Berechtigungen erfragt oder Login-Daten angefordert – für die NutzerInnen ist dabei nicht ersichtlich, dass die sensiblen Informationen oder Zugriffsrechte in diesem Moment an die Angreifenden weitergegeben werden. Nach der Dateneingabe landen die User wieder bei der eigentlich gewünschten App – es erfolgt kein Zeichen für eine Infektion oder einen erfolgreichen Angriff.

„Ähnliche Attacken haben wir bereits im Vorjahr gesehen, beispielsweise bei der Banking-Malware Cerberus“, weiß Tibor Elias, Android-Malware-Spezialist bei IKARUS: „Aber während die bereits bekannten Overlay-Angriffe einzelne Komponenten über andere Apps legen, befiehlt StrandHogg dem TaskManager, den Schadcode auszuführen, wenn eine legitime App gestartet wird. Das Fenster der Malware wird im Vordergrund angezeigt, das der harmlosen App wird in den Hintergrund verschoben oder geschlossen“

Fehler im System oder Schwachstelle in der Anwendung?

Möglich wird dieses Szenario durch das Ausnutzen der Standard Task-Funktion taskAffinity und allowTaskReparenting, die es installierten Apps ermöglicht, jede beliebige Identität anzunehmen. Promon hat die Sicherheitslücke laut eigenen Angaben im Sommer an Google gemeldet und bislang keine Informationen zu einem geplanten Sicherheitsupdate erhalten.

„Es gibt kontroverse Meinungen dazu, ob es sich bei StrandHogg um eine Android-Schwachstelle oder ‚nur‘ um eine Sicherheitslücke bzw. Fehlkonfiguration einer Anwendung handelt“, so Tibor Elias. Zum Ausnützen dieser Lücke muss sich aber bereits Schadcode am Gerät befinden, der üblicherweise von sogenannten Dropper Apps mitgeliefert oder nachgeladen wird. Hier greifen die „klassischen“ Sicherheitsempfehlungen für App-Installationen. Auf Google Protect alleine sollten Sie sich nicht verlassen – leider gelingt es bösartigen Apps immer wieder, unter dem Radar des Google-internen Sicherheitsprogrammes durchzuschlüpfen.

Infektionen auch über Google Play möglich

Die Sicherheitsfirma Lookout berichtet von 36 Apps, die die Sicherheitslücke ausnutzen, darunter auch der Banking-Trojaner BankBot. Die identifizierten schädlichen Apps – es werden keine Namen genannt – seien auch auf Google Play zu finden gewesen, wurden aber mittlerweile entfernt. Neben einem professionellen Malware-Scanner für Android, Vorsicht bei der App-Auswahl und gesundem Misstrauen empfehlen wir daher, auch bei der Bedienung des Smartphones oder Tablets aufmerksam zu sein: Achten Sie auf Login-Abfragen, wenn Sie bereits eingeloggt sind, oder wiederholte Anfragen für Berechtigungen. Tipp-Fehler, fehlende oder falsche Logos und nicht funktionierende Schaltflächen oder Links können ebenfalls Hinweise liefern. Im Zweifelsfall können Sie verdächtige Dateien über unsere kostenlose Android-App IKARUS mobile.security an das IKARUS Malware-LAB senden.

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download