Forscher von Zimperium zLabs haben Anfang März eine bösartige Android System Update App im Angebot eines Drittanbieters entdeckt. Dabei handelt es sich tatsächlich aber um einen RAT-Trojaner. Dieser kann so ziemlich alles von einem infiziertem Android System abgreifen.

Die Android App heißt ganz einfach „System Update“. Zimperium, ein Unternehmen für Mobilsicherheit, entdeckte die App mit dem eingebauten Trojaner. CEO Shridhar Mittal geht davon aus, dass die App wohl Teil eines ganz gezielten Angriffs sei. Mittal konnte aber keine weiteren Informationen dazu geben. Er sagte aber in dem Zusammenhang, dass „es ist mit Abstand das raffinierteste [RAT] sei“, das er je gesehen habe. Wer immer es programmiert hat, hat sich sehr viel Mühe gegeben

Android System Update App vielseitig und sehr gefährlich

Die bösartige Android-App tarnt sich als ein Systemupdate. Tatsächlich ist sie aber ein Fernzugriffs-Trojaner (remote access trojan). Der RAT kann so gut wie alle Daten von einem infizierten System stehlen, was eine ziemlich erschreckende Erkenntnis für die Forscher war.

Der Trojaner verschafft sich Zugang zu Nachrichten im Instant-Messenger und in WhatsApp einschließlich deren Datenbankdateien, Anrufprotokollen und Telefonkontakten, Bildern und Videos. Aber auch so ziemlich alles, was sonst noch auf einem infizierten Android Handy gespeichert ist, kann abgegriffen werden. Die Malware kann sogar alle Inhalte der restlichen Android Apps auf dem betroffenen Handy für einen späteren Gebrauch inventarisieren.

Aber das ist noch längst nicht alles! Die bösartige App kann Standortdienste überwachen und auf den Browser Suchverlauf zugreifen. Telefongespräche können aufgezeichnet, Fotos über die vordere oder hintere Kamera gemacht und komplette Kontaktlisten und Anrufprotokolle gestohlen werden. Die Spionage App wird sofort aktiv, wenn sich auf dem Handy etwas tut. Kommt ein Anruf herein, nimmt die App das Gespräch sofort auf und sammelt die dazugehörigen Log-Daten. Auch sucht sie nach Dateien mit bestimmten Erweiterungen wie .pdf, .doc, .docx und .xls, .xlsx und prüft alle Dateien in einer Zwischenablage. Der Trojaner löscht anschließend alle Beweise für seine Aktivitäten auf dem Android Handy. Zuvor lädt er alle abgesaugten Daten auf einen C&C Server in Form einer verschlüsselten ZIP-Datei.

Die Technik hinter der bösartigen Android System Update App

Nach der Installation registriert sich das Gerät beim Firebase C&C-Server mit dem vom Firebase-Nachrichtendienst erhaltenen Token. Sofort werden die Systeminfos einschließlich verbleibender Akkukapazität, der Speicherstatistik und der Internetverbindung registriert.

Die App bietet Optionen zum Aktualisieren dieser Geräteinformationen als „Update“ und als „RefreshAllData“ an. Bei der Option „Update“ werden die Geräteinformationen lediglich gesammelt und an das C&C Server gesandt. „RefreshAllData“ erzeugt zusätzlich noch ein neues Firebase-Token. Die Spyware und die Datenexfiltration werden ausgelöst, wenn auf dem Handy Aktionen stattfinden. Die Systemdienste contentObserver- und Broadcast-Empfänger von Android werden dazu genutzt. Der Firebase-Nachrichtendienst sendet Befehle an die Malware bestimmte Aktionen auszuführen. Der zugewiesene C&C-Server sammelt lediglich die gestohlenen Daten mithilfe einer POST-Anfrage.

Der Befehl „re“ zur Aufnahme von Mikrofontönen empfängt auch die Parameter „from_time“ und „to_time“. Diese planen OneTimeWorkRequest-Jobs für ein bestimmtes Job Scheduling. Gleichzeitig kann die Spyware um das Android System um Erlaubnis bitten, die Akku-Optimierungen zu ignorieren. Dies ist besonders wichtig, wenn der Akku nur noch schwach ist. Die Spyware will stets die Aktualität der gestohlenen Daten sicherstellen. Wenn es neue Daten entdeckt, werden auch zurückliegende Zeiträume kopiert, damit die Datenkette vollständig bleibt.

Die Malware fordert die Opfer ganz nebenbei auf, die Eingabehilfedienste zu aktivieren. Das ermöglich das Sammeln von Dateien und Nachrichtendetails auf WhatsApp. Gespeichert werden die Daten in einer SQLite-Datenbank. Der Gerätespeicher wird nach Dateien durchsucht, die kleiner als 30 MB sind. Am interessantesten sind Adobe und Office Dateien. Bilder und Videos werden lediglich als Miniaturansichten bei einer mobilen Datenverbindung abgezogen. Das Abgreifen der Originaldateien könnte dem Nutzer ansonsten im Datenverbrauch auffallen. Sobald eine WLAN-Verbindung nutzt wird, werden alle gestohlenen Daten aus allen Ordnern an den C&C-Server gesandt.

Bösartige Apps zunehmend eine große Gefahr

Die bösartige App wurde zwar nie im Google Play Store angeboten. Dennoch sind Apps mit ähnlichen bösen Absichten in anderen App Stores zu finden. Nutzer sollten generell genau anschauen, was sie da auf ihr Handy herunterladen.

Dass diese Android System Update App nicht in Googles Play Store angeboten wurde, ist vermutlich reiner Zufall. Google hatte schon des Öfteren nicht ganz astreine Apps in seinem Store angeboten. Eine Studie aus 2020 zeigte, dass der Google Play Store die allermeisten bösartigen Apps für Android verteilte. Der Play Store prüft selbstverständlich seine angebotenen Apps, aber er ist mittlerweile so groß, dass hier gelegentlich bösartige Apps untergehen. Zudem sind solche bösartigen Apps heute außerordentlich gut vor Entdeckung getarnt.

SANS IT-Sicherheitsexperte Lee Neely sagte zu dem Android System Update App Vorfall: „Viele bösartige Android-Apps werden in App Stores von Drittanbietern bereitgestellt. Einige gelangen aber auch in den Google Play Store.“ Neely empfiehlt Nutzern, die Benutzerführung ihres Handys zu Aktualisieren. Damit nicht nur keine Apps aus App-Stores von Drittanbietern heruntergeladen werden, sondern auch keine Apps von unbekannten oder nicht vertrauenswürdigen Entwicklern. Zudem, so Neely, sollten Anwendungen, die Side-Loading oder den Entwicklermodus erfordern, allen Nutzern ein großes Warnsignal sein.

Artikel von gizmodo.com, 29.03.2021: Dangerous Android App Pretends to Be a System Update to Steal Your Data
Artikel von zimperium.com, 26.03.2021: New Advanced Android Malware Posing as “System Update”

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0 von Markus Winkler auf pixabay.com.