Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Spionage-Software unter Android erkennen und entfernen

In nur wenigen Minuten könnte ein Angreifer eine Spionage-App auf dem Smartphone installieren. So schützen Sie sich.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Spionage-Software unter Android erkennen und entfernen
Lesezeit: 11 Min.
c't Magazin
Von
  • Michael Spreitzenbarth
Inhaltsverzeichnis

Ein Angreifer benötigt nur wenige unbeobachtete Minuten, um auf Ihrem Smartphone eine Spionage-App zu verstecken. Anschließend könnte die bösartige App sensible Daten an den Angreifer schicken oder weitere Schadsoftware installieren. Mit wenigen Handgriffen erkennen Sie eine Infektion und stoppen die Überwachung.

Root-Zugriff checken

Wenn Sie den Verdacht hegen, dass Sie jemand ausspioniert, sollten Sie zuerst überprüfen, ob Ihr Handy gerootet ist. Denn auf einem gerooteten Handy kann ein Angreifer ein Spionagetool so verstecken, dass es mit den hier beschriebenen Methoden nicht zu entdecken ist – auch wenn Sie selbst den Root aus gutem Grund durchgeführt haben.

Mit Root Checker finden Sie heraus, ob Ihr Gerät gerootet ist. Die Meldung „Congratulations!“ bedeutet in Ihrem Fall „Vorsicht! Verseuchungsgefahr!“

Durchsuchen Sie Ihr Gerät unter Einstellungen/Apps nach Tools, die klassischerweise zum Rooten verwendet werden. Dazu zählen unter anderem SuperSu, BusyBox oder KingRoot. Außerdem überprüfen Sie mit der kostenlosen App Root Checker direkt, ob Ihr Handy gerootet ist.

Die von uns untersuchten Spionage-Pakete mSpy und FlexiSpy nutzen derzeit keine besonderen Root-Tricks, um sich zu verstecken. Sie werden also von den folgenden Maßnahmen auch auf gerooteten Systemen entfernt. Aber das kann sich mit jedem Update ändern, zudem könnte Ihr Angreifer weitere Schädlinge installiert haben, die sich besser verbergen. Letztlich können Sie einem gerooteten Handy nicht mehr vertrauen.

Bei einem Spionage-Verdacht haben Sie zwei Optionen: Zum einen können Sie das Gerät auf die Firmeneinstellungen zurücksetzen, was auch den Root-Zugang entfernt und die Standard-Sicherheitsfunktionen wieder in Kraft setzt. Das Handy ist dann wieder sauber, aber das neue Einrichten des Systems ist mühselig. Zum anderen können Sie das gerootete System reparieren. Das bedeutet viel Arbeit, doch Sie finden genauer heraus, welche Daten der Angreifer geklaut hat. Es empfiehlt sich, jemanden hinzuzuziehen, der mit gerooteten Systemen Erfahrung hat.

Geräteadministrator-Apps überprüfen

Im Folgenden gehen wir davon aus, dass Ihr Gerät nicht gerootet ist und somit alle von Ihnen ermittelten Diagnoseinformationen zuverlässig sind. Zuerst überprüfen Sie die sogenannten Geräteadministrator-Apps, denn sie bekommen unter Android besonders viele Zugriffsrechte. Die finden Sie in den Einstellungen unter "Sicherheit & Standort/Apps zur Geräteverwaltung", auf manchen Geräten unter "Gerätesicherheit/Andere Sicherheitseinstellungen" oder ähnlich.

Hier sollten Sie im Normalfall nur "Mein Gerät finden" (manchmal "Find My Device" genannt) und "Google Pay" sehen und – je nach Einsatzzweck des Telefons – noch das Mobile Device Management Ihrer Firma oder den Eintrag einer Mail-App mit Exchange-Zugang wie "E-Mail" von Nine. Entdecken Sie an dieser Stelle andere Einträge, ist das ein starkes Indiz für eine Infektion. Deaktivieren Sie die verdächtigen Geräteadministratoren – im Zweifel alle.

In dem Menü können Sie die Geräteadministratoren allerdings nur deaktivieren. Zum Löschen müssen Sie die zugehörige App deinstallieren. Doch ärgerlicherweise dürfen Apps ihren Eintrag in dieser Liste der Geräteadministratoren beliebig bezeichnen, sodass Sie nicht immer wissen, von welcher App er stammt. Die Spionagesoftware mSpy trägt sich hier beispielsweise mit "Update Service" ein, FlexiSpy mit "System Update". Einige Spionage-Apps verweigern die Deinstallation, solange Sie als Geräteadministrator eingetragen sind.

Play Protect einschalten

Als Nächstes kontrollieren Sie die eingebauten Sicherheits-Features von Android. Ein Angreifer wird versucht haben sie zu deaktivieren, da diese Features die meisten Schädlinge erkennen. Unter dem Namen Play Protect überprüft Android inzwischen alle Apps auf dem Gerät, und das auch unter älteren Android-Versionen. Sie finden Play Protect am einfachsten in der App Play Store im Menü mit den drei Balken oben links.

Die Option "Gerät auf Sicherheitsbedrohungen prüfen" muss eingeschaltet sein und der letzte Scan darf nur ein paar Tage her sein. Falls nicht, ist das ein deutlicher Hinweis auf eine Infektion. Ist die zweite Option "Erkennung schädlicher Apps verbessern" darunter aktiviert, lädt Play Protect unbekannte Apps zu Google hoch und lässt sie dort in der Cloud scannen. Diese Funktion ist zwar sinnvoll, aber standardmäßig ausgeschaltet und liefert daher keinen Hinweis auf eine Infektion.

Androids eingebauter Virenscanner darf nicht deaktiviert sein (links), die letzte Überprüfung sollte nicht zu weit zurückliegen. Der Scanner erkennt nämlich durchaus gängige Spionage-Apps (rechts), auch wenn sie sich als „Update Service“ verstecken.

Schalten Sie Play Protect und das "Verbessern" ein und führen Sie bei aktiviertem Internet-Zugang mit dem Reload-Knopf darüber einen sofortigen Scan aller Apps durch. Die Spionage-Tools mSpy und FlexiSpy werden dabei erkannt und können rückstandslos deinstalliert werden. Die folgenden Kontrollen sollten Sie dennoch zusätzlich durchführen.

Apps aus fremder Herkunft sperren

Weil Googles Play-Store-Scanner viele Spionage-Apps erkennt, sind sie dort nicht erhältlich. Der Angreifer muss sie als Datei aufs Smartphone laden und manuell installieren. Dazu muss er die Sperre abschalten, die normalerweise vor Apps aus solchen Fremdquellen schützt.

Bei älterem Android finden Sie diese Sperre in den Einstellungen unter "Sicherheit/Unbekannte Herkunft" oder ähnlich. Bei aktuellem Android gibt es keine zentrale Sperre mehr, sondern einzelnen Apps wie FileManager, Browser oder Dropbox, Fremd-Apps erlaubt man gezielt, Fremd-Apps zu installieren. Die Liste der Apps finden Sie in den Einstellungen unter "Apps & Benachrichtigungen/Spezieller App-Zugriff/Unbekannt" oder ähnlich; hier sollte bei keiner App "zulässig" stehen.

In beiden Fällen bedeutet eine deaktivierte Sperre, dass ein Spionageangriff stattgefunden haben könnte. Umgekehrt ist eine eingeschaltete Sperre keine Versicherung für ein sauberes System, denn der Angreifer kann sie nach Installation des Schädlings einfach wieder aktivieren.

App-Berechtigungen kontrollieren

Verlassen Sie sich im Verdachtsfall nicht auf Play Protect, sondern überprüfen Sie alle installierten Apps. Öffnen Sie dazu in den Einstellungen den Punkt "App-Berechtigungen", meist unter "Apps" oder "Apps & Benachrichtigungen" oder ähnlich zu finden, auf manchen Geräten im Drei-Punkte-Menü der Apps-Anzeige oben rechts. Dort kontrollieren Sie, welche Apps auf persönliche Daten zugreifen dürfen.

Hier sollten unter den Punkten Kontakte, SMS, Kamera und Standort keine Apps auftauchen, die Sie nicht installiert haben oder von denen Sie nicht wissen, was sie machen. Deinstallieren Sie unbekannte Apps, notieren Sie sich aber (auch bei den folgenden Deinstallationen) vorher den Paketnamen, um Ihre Arbeiten nachvollziehen zu können. Wenn einige Apps mit einem zusätzlichen Schloss-Symbol doppelt erscheinen: Das ist eine Auswirkung einer unkritischen Funktion einiger Samsung- und Xiaomi-Geräte, mit der Sie Apps mit einem zweiten Konfigurationssatz starten können.

Mehr Infos

Spionage-Software: Checkliste zum Prüfen von Android-Geräten

  • ist das Gerät gerootet?
  • unbekannte Geräteadministratoren deaktivieren
  • Play Protect einschalten und Gerät scannen
  • verdächtige Apps entfernen
  • Passwörter aller Dienste (Google, Banking, Facebook, Evernote, Dropbox, …) ändern
  • Web-Zugriff von Messenger-Apps sperren
  • notfalls auf Werkseinstellungen zurücksetzen

Dann durchsuchen Sie die Liste aller installierten Apps nach unbekannten oder verdächtigen Apps. Welche Berechtigungen eine App anfordert, verrät ein Antippen der App. Daraus kann ein erfahrener Nutzer oft schon eine erste Tendenz erkennen, ob etwas faul ist.

Allerdings fordern auch einige harmlose Apps eine Vielzahl an Berechtigungen an – etwa weil die Entwickler fragwürdige Bibliotheken zur Werbeeinblendung nutzen. Unschön, aber aus Spionage-Sicht unkritisch, sofern Sie die App wissentlich selbst installiert haben. Denn dass gerade diese App eine echte Schwachstelle hat und dass Ihr Angreifer genau diese ausnutzt, ist unwahrscheinlich. Andererseits schadet es nichts, im Rahmen dieser Diagnose direkt alle anderen kritischen oder ungenutzten Apps zu deinstallieren.

Dubiose Quellen erkennen

Wichtig ist auch ein Blick auf die Quelle der App, gerade falls bei Ihnen die Installation aus Fremdquellen zugelassen war. Neuere Android-Versionen zeigen das in dieser App-Detailansicht unter den Berechtigungen an. Dort steht etwa "Von Google Play Store geladene App" (im Allgemeinen unkritisch) oder "Von Galaxy Apps geladene App" (Vorinstallation von Samsung). Höchst verdächtig ist hingegen eine "Vom Paket-Installer geladene App", sie stammt aus einer fremden Quelle. Wenn Sie die App nicht selbst aus gutem Grund installiert haben: Weg damit! Weil nicht alle Smartphones Fremd-Apps so klar auszeichnen, schauen Sie zuerst kurz, wie eine unverdächtige App ausgezeichnet ist.

Spyware Hinweise auf eine Infektion
mSpy Wählen von #000* öffnet das User-Interface von mSpy
FlexiSpy FSXGAD_\<versionsnummer>.apk auf der SD-Karte; in /data/app/ liegt com.mobilefonex.mobilebackup-1.apk; http://djp.cc bleibt oft im Browserverlauf zurück; Wählen von *#900900900 öffnet das User-Interface von FlexiSpy
PhoneSheriff hinterlässt alle abgefangenen Daten und Einstellungen unter /data/com.studio.sp2/
MobileSpy Wählen von #123456789* öffnet das User-Interface von MobileSpy
OmniRAT erzeugt Geräte-Administrator com.android.engine.Deamon

Allerdings dürften Sie auch eine Reihe Fehlalarme bekommen, denn viele Hersteller installieren Apps, deren Sinn sich gar nicht oder zumindest nicht aus dem Namen erschließt. Diese aus Spionage-Sicht unverdächtigen Apps erkennen sie daran, dass in der App-Detailansicht der Knopf fürs Deinstallieren fehlt und Sie sie stattdessen höchstens deaktivieren können. Sie sind im Allgemeinen unbedenklich, sofern nicht schon ab Werk oder vom Zwischenhändler eine Malware installiert wurde.

Die üblichen Spionage-Apps dürften Sie mit diesen Maßnahmen gefunden und von Ihrem System verbannt haben. Wenn Sie den Verdacht haben, dass gewieftere Angreifer hinter Ihnen her sind, die hartnäckigere Schadsoftware installiert haben, sollten Sie einen Reset auf Werkseinstellungen vornehmen – oder einen Experten zu Rate ziehen, da es auch Schädlinge gibt, die ein Reset überleben oder die in der Firmware lauern.

Accounts schützen

Falls Sie einen erfolgreichen Angriff befürchten, sind nach dem Säubern des Geräts weitere Maßnahmen ratsam. Sie müssen davon ausgehen, dass auch Ihr Google-Account kompromittiert ist.

Unter https://myaccount.google.com/device-activity finden Sie heraus, welche Geräte Ihren Google-Account nutzen und wann der letzte Zugriff stattgefunden hat. Verdächtige Geräte löschen Sie einfach durch einen Klick auf "Entfernen". Ändern Sie dann Ihr Passwort. Wir empfehlen, bei dieser Gelegenheit auch die Bestätigung in zwei Schritten zu aktivieren.

Das Gleiche gilt auch für alle anderen Cloud-Dienste, die Sie nutzen: Dropbox, Evernote, Facebook – und, wichtig, vom Smartphone aus genutztes Internet-Banking. Kontrollieren Sie die Zugriffe, ändern Sie im Zweifel die Passwörter, aktivieren Sie wenn möglich die Zweifaktor-Authentifizierung und löschen Sie verdächtige registrierte Geräte.

Bei WhatsApp, Signal und einigen weiteren Messengern droht eine zusätzliche Falle: Sie bieten inzwischen die Möglichkeit, die App auch über Browser zu bedienen und somit an alle Nachrichten und Fotos zu gelangen. Der Zugriff bleibt, einmal eingerichtet, auch nach Säuberung Ihres Handys aktiv. Diese Zugänge finden Sie bei WhatsApp unter "WhatsApp Web", bei Signal unter "Verknüpfte Geräte", bei Threema unter "Threema Web". Löschen Sie sie alle.

Auf Werkseinstellungen zurücksetzen

Die letzte Rettung – vor allem wenn das Gerät gerootet sein sollte – ist der Factory Reset, also das komplette Zurücksetzen auf Werkseinstellungen. Falls Sie Ihr Gerät für hoffnungslos befallen und verwanzt halten, führen Sie die obigen Passwort-Änderungen erst nach dem Reset oder von einem anderen Gerät aus durch, denn sonst erfährt ein möglicherweise noch installierter Keylogger die neuen Passwörter. Der Reset löscht alle Daten vom Handy, bringen Sie also vorher alles Wichtige wie Fotos, Adressen und Termine in Sicherheit und notieren Sie sich wichtige Elemente Ihrer Konfiguration.

Sie stoßen den Reset in den Einstellungen in "System/Optionen zurücksetzen/Alle Daten löschen" an, auf einigen Systemen "Allgemeine Verwaltung/Zurücksetzen/Auf Werkseinstellungen zurücksetzen" oder ähnlich genannt.

Achten Sie beim erneuten Einrichten des Telefons darauf, es als "neues Gerät" einzurichten und nicht etwa aus einem Backup zu installieren. Denn Ihr Gerät könnte aus dem Backup direkt wieder infiziert werden. Denken Sie auch unbedingt daran, den Zugang zum Gerät zu sperren, entweder per Fingerabdruck, Gesicht oder Passwort, mindestens aber mit einer vier- oder besser sechsstelligen PIN.

Mehr Infos

Einstieg in die Android-Forensik

(jow)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten