Strandhogg: Sicherheitslücke in Android wird aktiv ausgenutzt

Eine Sicherheitslücke in Android ermöglicht Schadsoftware, sich als andere, legitime Apps zu tarnen. Betroffen sind die Android-Versionen 6 bis 10. Die Lücke wird bereits aktiv ausgenutzt, um beispielsweise den Bankingtrojaner Bankbot zu installieren - einen Patch gibt es derzeit nicht. Die Sicherheitsfirmen Promon und Lookout haben die Lücke entdeckt und ihr den Namen Strandhogg - nach einer Wikinger-Taktik, mit der Küstengebiete überfallen und Lösegeld für gefangene Menschen gefordert wurde - gegeben. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Seit Android Version 6 kann die Schad-App taskAffinity auf eine oder mehrere ihrer Aktivitäten setzen, die dem Namen einer anderen App entspricht. Anschließend kann die Schad-App die Aktivität eine Ziel-App übernehmen. Beim nächsten Antippen des Icons der Ziel-App wird die Aktivität der Schad-App gestartet - auf diese Weise lässt sich beispielsweise ein Login-Bildschirm im Stil der Ziel-App anzeigen und die vom Nutzer eingegebenen Login-Daten abfangen.

Die Schad-App kann aber auch nach Berechtigungen fragen, beispielsweise dem Zugriff auf SMS, Standort, Kamera oder Mikrofon. Wird diese erteilt, kann die Schad-App den Nutzer mit den Berechtigungen überwachen. Besteht beispielsweise ein Zugriff auf die SMS und wurden zuvor die Login-Daten einer Bank-App abgegriffen, kann ein Angreifer Überweisungen triggern und mit der ausgelesenen mTAN bestätigen.

Einen solchen Angriff können Nutzer nur schwer erkennen, bevor es zu spät ist. Allerdings können sie laut Promon auf verschiedene Auffälligkeiten achten. Beispielsweise sei es verdächtig, wenn eine App, bei der ein Nutzer bereits angemeldet ist, erneut nach den Zugangsdaten frage oder der Nutzer Berechtigungsanfragen ohne einen App-Namen erhalte. Ebenfalls verdächtig sei es, wenn eine App nach einer Berechtigung frage, die sie nicht benötige. Auch Tippfehler oder nicht reagierende Buttons in der App-Oberfläche könnten ein Hinweis auf einen Angriff sein.

Mindestens 36 Schad-Apps nutzen die Sicherheitslücke aus

Die Sicherheitsfirma Lookout konnte bereits 36 Apps ausfindig machen, die die Sicherheitslücke ausnutzen. Die betroffenen Apps nennt die Sicherheitsfirma allerdings nicht. Diese seien zum Teil auch im Google Play Store zu finden gewesen, allerdings hätten sie die Schadsoftware nicht enthalten, sondern diese erst nach der Installation nachgeladen - sogenannte Dropper-Apps. Google hat die betroffenen Apps nach einem Hinweis aus dem Play Store gelöscht. Diese sollen unter anderem den Trojaner Bankbot installieren, der es auf die Zugangsdaten von Banken-Apps und mTANs, die per SMS zugestellt werden, abgesehen hat. Bankbot war in der Vergangenheit immer wieder im Play Store aufgetaucht.

Promon entdeckte die Sicherheitslücke bereits im Sommer und meldete sie an Google. Die Sicherheitsfirma gab Google 90 Tage Zeit, um die Lücke zu beheben, bevor sie nun veröffentlicht wurde. Erst Ende November wurde bekannt, dass sich Textnachrichten über den SMS-Nachfolger RCS einfach mitlesen lassen. Apps brauchen hierfür keine extra Berechtigung.