Android-Spiel verschickt heimlich GPS-Koordinaten
Eine als Snake-Spiel getarnte App verschickt im Hintergrund heimlich GPS-Koordinaten an einen Server. Mit einer weiteren Android-App lassen sich diese Koordinaten abfragen und in Google Maps darstellen.
- Daniel Bachfeld
Symantec berichtet in seinem Blog von einem Trojaner für Android, der sich als kostenloses Snake-Spiel Tap Snake tarnt und im Hintergrund heimlich GPS-Koordinaten an einen Server verschickt. Mit der vom gleichen Hersteller Maxicom stammenden 5 Euro teuren Android-App GPS Spy lassen sich diese Koordinaten abfragen und in Google Maps darstellen. Laut Symantec lässt sich der Tap-Snake-Prozess nicht auf einfache Weise beenden, er arbeitet im Hintergrund einfach weiter.
Allerdings muss man Tap Snake und GPS Spy über die Eingabe bestimmter Daten koppeln, weshalb ein Android-Besitzer nicht aus Versehen Opfer einer Tracking-Attacke werden kann. Vielmehr muss ein Angreifer für kurze Zeit den Zugriff auf ein (nicht gesperrtes) Android-Smartphone haben, um die Daten einzugeben – etwa der eifersüchtige Lebens- oder Geschäftspartner.
Zudem sollte ein Opfer bereits bei der Installation des Spiels stutzig werden, da es Zugriff auf den GPS-Empfänger fordert – allerdings fordern dieses Recht auch viele anderen Apps ein, von denen man dies eigentlich nicht erwarten würde. Aus diesem Grund geraten Apps auch manchmal unter falschen Verdacht, weil Entwickler aus bestimmten Gründen zuviel Rechte anfordern, ohne dass die App sie wirklich benötigen würde.
Bei einem Mediaplayer war der Argwohn allerdings gerechtfertigt: Vergangene Woche hatte der AV-Hersteller Kaspersky den ersten SMS-Trojaner für Android gesichtet. Er tarnte sich als Mediaplayer und verschickte nach der Installation heimlich kostenpflichtige SMS. (dab)
