© futurezone

Lipizzan

Google entdeckt Staatstrojaner für Android im Play Store

Google berichtet in einem Blogeintrag über die neue Malware-Familie Lipizzan. Dass es Malware in den Play Store schafft, ist leider keine Seltenheit. Diese spezifische Schadsoftware weist aber viele Merkmale eines Staatstrojaners auf.

Der erste Hinweis ist, dass eine Analyse des Codes darauf hindeutet, dass die Malware von Equus Technologies kreiert wurde. Google bezeichnet das Unternehmen als „Cyber Arms Company“. Diese israelische Firma soll seit Jahren kommerzielle Malware an Regierungen und Behörden verkauft haben, berichtet Motherboard unter der Berufung auf eine Quelle in der Überwachungs-Branche.

Hinweis zwei ist, dass weniger als 100 Geräte mit Lipizzan infiziert waren. Das ist sehr wenig gemessen daran, dass im Android Play Store 20 Apps vorhanden waren, die Lipizzan verbreitet haben. Dies lässt vermuten, dass Lipizzan nur sehr gezielt auf Geräten zur Spionage eingesetzt wurde. Dies senkt außerdem das Risiko, dass die Malware entdeckt wird.

Zwei Stufen

Die Auswahl der Opfer erfolgte über ein zweistufiges Verfahren. In der ersten Stufe kommt die Malware über die infizierten Apps aufs Smartphone. In der zweiten Stufe lädt Lipizzan Code nach, der das Smartphone untersucht. Werden bestimmte Kriterien erfüllt, wird die Infektion fortgesetzt. Die Malware verschafft sich mit bekannten Sicherheitslücken Root-Zugriff und beginnt Daten des Smartphones zu einem Server zu schicken.

Lipizzan kann den User auf vielfältige Art ausspionieren. Es kann Anrufe aufnehmen, das Mikrofon für einen Lauschangriff nutzen, Ortsdaten aufzeichnen, Screenshots und Fotos machen, sowie SMS und Kontakte abgreifen. Außerdem hat Google in dem Code von Lipizzan Routinen entdeckt, um auf Daten von Apps wie Gmail, Skype, Messenger und WhatsApp zuzugreifen.

Zweiter Versuch

Google hat die Apps im Play Store blockiert, die mit Lipizzan infiziert waren. Diese tarnten sich meist als Backup-Apps. Innerhalb von nur einer Woche tauchten mehrere neue mit Lipizzan infizierte Apps im Play Store auf. Diese gaben sich nicht mehr als Backup-Apps, sondern als Cleaner, Notepad, Sound Recorder und Alarm Manager aus.

Außerdem änderte sich die zweite Stufe. Diese wurde jetzt verschlüsselt auf Smartphones heruntergeladen. Für Google ist die schnelle Reaktion und Anpassung der Apps ein Hinweis, dass die Autoren der Malware sich für genau diesen Fall vorbereitet haben.

Trotz der Verschleierungsversuche konnte Google die neuen, infizierten Apps schnell finden und blockieren. Google Play Protect, der automatische Schutz, der auf nahezu allen Android-Smartphones aktiv ist, wurde angepasst, um Lipizzan zu finden und von infizierten Geräten zu löschen. User, deren Smartphones bereits mit Lipizzan infiziert waren, wurden von Google informiert.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare