Überwachungs-Apps im Handy aufspüren und beseitigen

Haben Sie den Verdacht, dass Ihr Smartphone von einer Spionage-Software infiziert wurde? Unsere Tipps helfen Ihnen, Überwachungs-Apps zu erkennen und zu entfernen.

149

05.11.2018, 07:00 Uhr

Lesezeit: 8 Min.

c't Magazin

Von

Michael Spreitzenbarth
Miriam Abels

Befürchten Sie, dass Ihr Smartphone infiziert ist? Wir helfen Ihnen, etwaige Schädlinge aufzuspüren und zu beseitigen.

Zunächst einmal sollten Sie prüfen, ob Ihr Handy gerootet ist, denn einem gerooteten Gerät können Sie nicht mehr vertrauen – auch dann nicht, wenn Sie den Root aus gutem Grund irgendwann selbst durchgeführt haben. Auf gerooteten Geräten können Angreifer ein Spionage-Tool so gut verstecken, dass Sie es mit einfachen Handgriffen nicht entdecken.

Root entdecken

Durchsuchen Sie Ihr Gerät unter „Einstellungen/Apps“ deshalb nach Tools, die klassischerweise zum Rooten verwendet werden. Dazu zählen unter anderem SuperSu, BusyBox oder KingRoot. Außerdem überprüfen Sie mit der App RootChecker direkt, ob Ihr Handy gerootet ist.

Bei gerooteten Geräten haben Sie zwei Möglichkeiten: Entweder, Sie setzen Ihr Smartphone wieder auf die Werkseinstellung zurück, oder Sie reparieren das gerootete System, was jedoch mit einem hohen Aufwand verbunden ist. Dabei sollten Sie jemanden hinzuziehen, der mit gerooteten Systemen Erfahrung hat. Einen Einblick in mögliche Vorgehensweisen gibt der c't-Artikel Android-Trojaner seziert.

Android-Handys schützen – Checkliste

Wir gehen im Folgenden also davon aus, dass Ihr Android-Handy nicht gerootet ist.

Überwachungs-Apps aufspüren und beseitigen — Diese Checkliste hilft Ihnen dabei, mögliche Spionage-Angriffe auf Ihrem Android-Smartphone zu entdecken.

Unbekannte Geräteadministratoren deaktivieren

Geräteadministrator-Apps bekommen unter Android besonders viele Zugriffsrechte, deswegen sollten Sie diese Apps überprüften. In den Einstellungen unter „Sicherheit & Standort / Apps zur Geräteverwaltung“ (Achtung: in einige Smartphones heißen die Menüs für die Geräteadministratoren leicht abweichend) sehen Sie im Normalfall nur „Mein Gerät finden“ und „Google Pay“, möglicherweise auch das Mobile Device Management Ihrer Firma oder eine Mail-App. Sollten Sie hier jedoch andere Apps finden, könnte dies auf eine Infektion Ihres Gerätes hindeuten.

Deaktivieren Sie in diesem Fall diese unbekannten Geräteadministratoren und deinstallieren Sie die dazugehörige App. Welche das ist, können Sie leider nicht immer eindeutig feststellen, denn eine App darf ihren Eintrag in der Geräteadministratoren-Liste beliebig benennen.

Das Handy mit Play Protect scannen

Sie sollten sich auch die Android-Sicherheits-Features genauer ansehen. Play Protect prüft alle Apps auf dem Smartphone und funktioniert auch unter älteren Android-Versionen. Sie finden Play Protect am Einfachsten in der App Play Store im Hamburger-Menü (die drei horizontalen Linien oben links).

Die Option „Gerät auf Sicherheitsbedrohung prüfen“ muss aktiviert sein. Auch die „Erkennung schädlicher Apps verbessern“ sollte eingeschaltet sein. Hier sollten Sie unbedingt prüfen, wie lange der letzte Scan von Play Protect her ist: Ist er länger als ein paar Tage her, kann das auf einen Spionage-Angriff hindeuten.

Führen Sie nun einen Scan aller Apps durch; hierbei muss der Internet-Zugang aktiviert sein. Play Protect erkennt beispielsweise die Spionage-Tools mSpy und FlexiSpy, die dann komplett deinstalliert werden können.

Spionage-Software aus Fremdquellen aufspüren

Angreifer müssen die Spionage-Tools im Allgemeinen manuell auf Ihrem Gerät installieren, denn Googles Virenscanner würde sie entdecken, weshalb die Apps im Play Store im Großen und Ganzen schädlingsfrei sind. Zur manuellen Installation muss der Angreifer zuerst die Sperre abschalten, die Ihr Gerät vor Apps aus Fremdquellen schützt. Diese Sperre finden Sie bei älteren Geräten in den Einstellungen unter „Sicherheit/Unbekannte Herkunft“.

Bei neueren Smartphones gibt es keine zentrale Sperre mehr, sondern es ist einzelnen Apps wie FileManager, Dropbox oder Browsern erlaubt, aus Fremdquellen zu installieren. In den Einstellungen unter „Apps & Benachrichtigungen/Spezieller App-Zugriff/Unbekannt“ finden Sie eine Liste der Apps: Es sollte bei allen App „nicht zulässig“ stehen. Wenn Sie in der Liste eine App finden, bei der Fremdquellen zulässig sind, ist dies ein Indiz für einen Spionage-Angriff. In diesem Fall gucken Sie sich die Quelle der App genauer an. Neuere Android-Versionen zeigen dies in den Einstellungen unter „App-Benachrichtigungen“ in der App-Detailansicht an. Die Quellen „Von Google Play Store geladene App“ oder „Von Galaxy Apps geladene App“ sind meist unbedenklich, eine „vom Paket-Installer geladene App“ ist dagegen sehr verdächtig. Diese App sollten Sie löschen.

Liste aller installierten Apps prüfen

Wenn Sie ganz sichergehen wollen, dass Ihr Smartphone von keiner Spionage-Software befallen ist, sollten Sie alle installierten Apps kontrollieren. Öffnen Sie dazu in den Einstellungen unter „App-Berechtigungen“ die Liste aller Apps und prüfen Sie, welche Apps auf persönliche Daten zugreifen dürfen. Unter den App-Berechtigungen sollten neben Kontakte, SMS, Kamera und Standort keine Apps auftauchen, die Sie nicht selbst installiert haben. Unbekannte Apps sollten Sie deshalb deinstallieren. Notieren Sie zuvor stets den Paketnamen, um Ihre Arbeiten nachvollziehen zu können. Nach diesem Prinzip können Sie die Liste aller installierten Apps durchgehen, um verdächtige oder unbekannte Apps aufzuspüren.

Passwörter ändern

Sollten Sie von einer Spionage-Software befallen sein, empfiehlt es sich, nach der Säuberung des Geräts auch die Passwörter aller Dienste zu ändern. Unter https://myaccount.google.com/device-activity können Sie einsehen, welche Geräte Ihren Google-Account nutzen und wann zuletzt darauf zugegriffen wurde. Entfernen Sie verdächtige Geräte aus dieser Liste und ändern Sie Ihr Passwort. Gleiches gilt für andere Cloud-Dienste und Banking-Apps, die Sie nutzen.

Besonders aufpassen müssen Sie bei Messenger-Diensten: Einige, darunter WhatsApp, Signal und Threema, können Sie auch über Ihren Browser nutzen. Auch wenn Sie selbst das nie genutzt haben, könnte ein Angreifer diese Option eingeschaltet haben. Dieser Browser-Zugriff kann auch nach Säuberung des Handys aktiv bleiben, weshalb Sie ihn explizit entfernen müssen. Sie finden ihn in den Apps unter Menüpunkten wie „WhatsApp Web“ oder „Threema Web“ – löschen Sie auch hier die Zugriffe. Sofern Sie hier einen Zugriff sehen, ohne dass Sie selbst ihn eingerichtet haben, ist das ein ganz klarer Hinweis auf einen Angriff.

Auf Werkseinstellungen zurücksetzen

Wenn nichts mehr hilft oder Sie noch Zweifel an der Sicherheit Ihres Smartphones haben, hilft nur noch das Zurücksetzen auf die Werkseinstellung. Zuvor sollten Sie Ihre persönlichen Daten (Fotos, Adressen und Termine etc.) sichern und die wichtigen Elemente Ihrer Konfiguration notieren. In den Einstellungen können Sie Ihr Handy unter „Systeme/Optionen zurücksetzen/Alle Daten löschen“ resetten, auf einigen Systemen finden Sie den Reset unter „Allgemeine Verwaltung/Zurücksetzen/Auf Werkeinstellungen zurücksetzen“ oder ähnlich genannt.

Anschließend müssen Sie Ihr Handy neu einrichten. Wichtig: Installieren Sie es als neues Gerät ein und nicht etwas als Backup, ansonsten könnte es sein, dass Ihr Gerät aus dem Backup erneut infiziert wird. Und: Ändern Sie Ihre Passwörter erst nach dem Reset, damit ein möglicherweise installierter Keylogger nicht die neuen Passwörter erfährt.

iOS-Geräte schützen – Checkliste

Überwachungs-Apps im Handy aufspüren und beseitigen — Diese Checkliste hilft Ihnen Spionage-Angriffe bei Geräten mit iOS zu enttarnen.

iPhones lassen sich zwar deutlich schwieriger ausspionieren als Android-Geräte, doch sollte man bei Verdacht dennoch einem möglichen Spionage-Angriff nachgehen. Im ersten Schritt prüfen Sie dazu, ob Ihr iPhone per Jailbreak manipuliert wurde, denn ein Jailbreak setzt wichtige Sicherheitsmechanismen außer Kraft. Wenn Ihr iPhone die aktuelle iOS-Version nutzt, brauchen Sie keinen Angriff per Jailbreak befürchten – derzeit gibt es keinen öffentlich verfügbaren Jailbreak ab iOS 11.4. Welche iOS-Version gerade aktuell ist, dokumentiert Apple auf den Seiten zu Sicherheitsupdates.

Apps wie die der Barclaycard verweigern den Dienst, wenn sie einen Jailbreak erkennen.

Nutzen Sie ein iPhone mit einer älteren iOS-Version, sollten Sie die typischen Anzeichen für einen Jailbreak überprüfen – beispielsweise mit den Apps Cydia, Electra und Pangu. Einige Anwendungen wie Online-Banking-Apps testen das Gerät beim Start und verweigern den Dienst im Falle eines Jailbreak. Ein weiteres Indiz für einen Angriff ist der Akkuverbrauch, denn eine dauerhaft aktive Spionage-App frisst Strom und auch Datenvolumen.

Insgesamt sind iPhones relativ sicher vor Spionage-Überfällen per Jailbreak. Der zentrale Schlüssel zu den Daten ist hier nicht das Handy selbst, sondern der Apple-Account des Besitzers. Aus diesem Grund holt kommerzielle Spionage-Software sich die Daten aus der iCloud.

Bekannte Spyware erkennen

Wenn Sie unsere Tipps beherzigen und die Checklisten zum Prüfen von Android- und iOS-Geräten durchgegangen sind, sollte Ihr Smartphone vor den meisten Spionage-Apps sicher sein. Zusätzliche Hinweise auf einen Spionageangriff mit bereits bekannter Spyware finden Sie die folgende Tabelle.

Spyware	Hinweise auf eine Infektion
mSpy	*Wählen von #000 öffnet das User-Interface von mSpy**
FlexiSpy	FSXGAD_\<versionsnummer>.apk auf der SD-Karte; in /data/app/ liegt com.mobilefonex.mobilebackup-1.apk; http://djp.cc bleibt oft im Browserverlauf zurück; Wählen von *#900900900 öffnet das User-Interface von FlexiSpy
PhoneSheriff	hinterlässt alle abgefangenen Daten und EInstellungen unter /data/com.studio.sp2/
MobileSpy	*Wählen von #123456789 öffnet das User-Interface von MobileSpy**
OmniRAT	erzeugt Geräte-Administrator com.android.engine.Deamon

(jow)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}