Dvmap: Trojaner aus dem Play Store hat über 50.000 Smartphones unbemerkt gerootet

 

In den vergangenen Jahren hat Google die Sicherheitsmaßnahme im Play Store verstärkt und macht den meisten Malware-Apps noch vor dem ersten Download den Gar aus. Doch immer wieder gelingt es den findigen Entwicklern, diese Schutzmaßnahmen zu umgehen und dennoch schadhafte Apps in den Play Store zu schleusen und auf Tausende von Smartphones zu verbreiten. Doch jetzt hat Kaspersky wieder einen Trojaner entdeckt, der sich ohne Zutun des Nutzers den vollen Systemzugriff gesichert hat.

Im Gegensatz zu Apples App Store ist Google Play nicht vormoderiert und setzt für die erste Schutzmaßnahme nur auf automatische Scans. Über die Verify Apps-Funktion die nun Teil von Google Play Protect ist, werden mehr als 1 Milliarde Smartphones pro Tag gescannt und von Malware-Apps freigehalten – und das sogar dann, wenn die App nicht aus dem Play Store stammt. Doch auch Googles Scanner sind nicht unfehlbar, und das nutzen Hacker immer wieder aus – wie auch in diesem Fall.

Vor kurzem haben die Sicherheitsforscher von Kaspersky eine App im Play Store entdeckt, die einen besonders heimtückischen Trojaner enthielt: Die Malware nennt sich Dvmap und hat sich als simples Puzzle-Spiel ausgegeben. In Wirklichkeit wurde aber im Hintergrund das Smartphone des Nutzers gerootet, so dass sich die App anschließend den vollen Zugriff auf das System sichern konnte – und das ganz ohne dass der Nutzer auch nur einen Hinweis bekommt was da im Hintergrund vor sich geht.

Nach der Übernahme der Kontrolle des Smartphones hat die App noch Kontakt zu Servern aufgenommen, hat aber laut den Sicherheitsforschern keine weitere Aktion durchgeführt. Aus diesem Grund geht Kaspersky davon aus, dass es sich bei der App erst einmal nur um einen Testballon handelt, dem noch weitere Apps folgen dürften, die dann im Hintergrund weitere Apps installieren, den Nutzer ausspionieren, Werbung einblenden oder andere beliebige Dinge tun.

Die App hat colourblock, als die sich der Trojaner ausgegeben hat, soll laut Kaspersky schon seit längerer Zeit im Play Store gewesen und von mehr als 50.000 Nutzern heruntergeladen worden sein. Wie viele Nutzer dann tatsächlich betroffen waren lässt sich nur schwer sagen, denn mittlerweile hat Google die App natürlich aus dem Store entfernt. Doch die gerooteten Smartphones bleiben natürlich weiterhin zurück – auch nach der Deinstallation der App.

Um diesen Angriff zu ermöglichen sollen die Entwickler eine Reihe von Tricks angewendet und bekannte Sicherheitslücken ausgenutzt haben. Googles Play Store-Filter sollen damit überlistet worden sein, dass die App in einer „sauberen“ Version hochgeladen und dann mehr als 100 mal aktualisiert wurde, bevor die Malware schlussendlich zum Einsatz kam und als Update ausgeliefert wurde. Möglicherweise werden die Filter nach mehrere Dutzend Updates also nicht mehr ganz so scharf eingestellt wie bei neuen Apps – das ist aber nur eine Vermutung.

Viel fraglicher ist aber eher die Tatsache wie es die App schaffen konnte, das System zu rooten ohne dass der Nutzer etwas davon mitbekommen hat. Laut den Forschern hat die App eine Möglichkeit gefunden, alle Warnmeldungen, die vom Nutzer gelesen und abgenickt werden müssen, auszublenden und automatisiert zu beantworten. Dazu könnte die vor kurzem beschriebene Clickjacking-Methode zum Einsatz gekommen sein, bei der dem Nutzer nur der Button, aber nicht die eigentliche Meldung angezeigt wird. Dadurch würde dieser alles abnicken, ohne die Meldungen jemals zu Gesicht zu bekommen.

Da Googles Filter die Malware bisher nicht erkannt haben, und es vielleicht auch jetzt noch nicht tun, ist es gut möglich dass es schon jetzt weitere Apps im Play Store gibt, die das Smartphone des Nutzers rooten und sich als etwas völlig anderes ausgeben. Die neuen von Google eingeführten Schutzmaßnahmen greifen bisher nicht vollständig und gelten auch nur für alle Smartphones mit aktuellem Betriebssystem – die bekanntlich noch immer in der Unterzahl sind.

Google hat sich noch nicht offiziell geäußert, aber die eigenen Entwickler dürften längst daran arbeiten auch solche Angriffe in Zukunft zu unterbinden und durch weiter verbesserte Play Store-Filter schon im Keim zu ersticken. Durch den ständigen Scan ist sicher gestellt, dass Google auch nachträglich Apps erkennen und den Nutzer informieren kann, so dass hier eine deutlich größere Sicherheit gegeben ist als bei Apps die nicht aus dem Store stammen.

Da Android eine immer größere Verbreitung erreicht und längst das am meisten genutzte Betriebssystem der Welt ist, häufen sich solche Angriffe in letzter Zeit: Gerade erst hatte Google 41 Apps aus dem Store entfernt, die im Hintergrund Webseiten aufgerufen und Werbebanner automatisiert angeklickt haben – was einen Schaden in Millionenhöhe angerichtet hat. Aus Nutzersicht war das jetzt kein so großes Problem wie bei einigen anderen Angriffen.

Viel schwerer wiegt schon eine Malware-App die jahrelang im Play Store zu finden war und den Nutzer ausspioniert hat. Dies wurde Millionenfach installiert und hatte die Nutzer sogar so gut getäuscht, dass die App noch auf eine sehr gute Bewertung kam und sich schnell weiter verbreitet hat.

Doch trotz einige spektakulären Funde muss man sagen, dass Google einen sehr guten Job mit der Absicherung von Android und dem Play Store macht und sich auch stetig darum bemüht die Sicherheit zu erhöhen. Angesichts von 2 Milliarden Nutzern gibt es doch nur einen verschwindend geringen Anteil an Malware im Play Store – und es bleibt zu hoffen dass das auch so bleibt und die Filter auch in Zukunft immer besser werden.

[MobileGeeks

---

---