Stagefright: Online-Ganoven tarnen Android-Trojaner als Sicherheitsupdate
Während die meisten Hersteller keine oder wenige Firmware-Updates anbieten, die vor den gefährlichen Stagefright-Lücken schützen, können Online-Abzocker vermeintlich schon liefern. Es handelt sich dabei allerdings um einen Trojaner.
- Ronald Eikenberg
Cyber-Ganoven versuchen den Wirbel um die kritischen Stagefright-Lücken in Android zur Verbreitung eines Smartphone-Trojaners zu nutzen. Dies zeigen Informationen, die uns das Center for IT-Security, Privacy, and Accountability (CISPA) der Uni Saarland zur Verfügung gestellt hat.
In einer vermeintlich von Google stammenden Mail geben die Absender vor, dass es einen potenziell unberechtigten Zugriff auf das Google-Konto des Empfängers aus Russland gab. Als möglichen Grund nennen sie die Stagefright-Sicherheitslücken in der zentralen Multimedia-Schnittstelle von Android. Die Mail wurde in korrektem Deutsch formuliert. Als Grundlage diente offenbar eine legitime Benachrichtigungsmail von Google, die um die Informationen zu Stagefright ergänzt wurde – einschließlich einer korrekten CVE-Nummer von einer der Lücken.
Vermeintliches Sicherheitsupdate CVE-2015-1538.apk
Die Absender fordern den Empfänger auf, ein in der Mail verlinktes Sicherheitsupdate mit dem Dateinamen CVE-2015-1538.apk über Sideloading zu installieren. Dabei handelt es sich jedoch nicht um einen Security-Patch, sondern um einen Android-Trojaner. Eine Sandbox-Analyse von heise Security und Untersuchungen des CISPA zeigen, dass es sich offenbar um das kommerzielle Remote-Administration-Tool (RAT) DroidJack handelt, das einen weitreichenden Fernzugriff auf das Android-Gerät erlaubt.
Trojaner kommuniziert mit russischer Domain
Die zu DrodJack gehörige Konfigurations-Software bietet eine Funktion namens "APK Binder", mit der man den Android-Client in jeder beliebigen App verstecken kann – das Ergebnis ist ein klassisches trojanisches Pferd. Der Trojaner greift auf Kamera, Mikrofon und GPS-Koordinaten zu und räumt sich unter anderem Rechte ein, um SMS zu verschicken, zu telefonieren und Speicherkarten auszulesen. Er kommuniziert unter anderem mit dem Server droid.deutsche-db-bank.ru.
Verfügbarkeit der Hersteller-Updates weiterhin mau
Schutz vor der Ausnutzung der Stagefright-Lücken bietet die Trojaner-App freilich nicht. Wer die Sicherheitslöcher in seinem Android-Gerät schließen will, kann darauf hoffen, dass der Hersteller eine aktualisierte Firmware mit den Stagefright-Patches herausbringt oder auf die inoffizielle Android-Distribution CyanogenMod umsteigen. Konkrete Informationen zur Verfügbarkeit der Updates machten gegenüber heise Online bisher nur wenige Hersteller. Für welche der Lücken ein Gerät anfällig ist, ermittelt eine kostenlose App. (rei)