© Oleksandr Lutsenko / 123RF.com

Eine neue Android-Spyware hat sich in zahlreichen Apps des Google Play Store eingenistet und lässt Angreifer Dateien des Android-Geräts auslesen.

Sicherheitsforscher von Doctor Web entdeckten kürzlich eine neue Android-Spyware [1], die Informationen über gespeicherte Dateien sammelt und an entfernte Angreifer überträgt. Zudem kann die Spyware den Zwischenspeicherinhalt (Clipboard) modifizieren oder auf einen Remote-Server hochladen. Das ist besonders kritisch, weil dieser Speicher beispielsweise Passwörter oder Kreditkarteninformationen enthalten kann. Doctor Web hat die Spyware auf den Namen Android.Spy.SpinOk getauft.

Die Spyware ist als harmloses Software Development Kit (SDK) für das Marketing getarnt. Entwickler können das SDK in verschiedene Arten von Apps oder Spielen integrieren, einschließlich solcher, die auf Google Play erhältlich sind. Das SDK kann beispielsweise Minispiele oder Werbung anzeigen, die den Benutzer fesseln sollen. Allerdings ist das SDK nicht so harmlos, wie es scheint: Im Hintergrund führt es eine Reihe anderer Aktivitäten aus, von denen weder der Benutzer noch der Entwickler etwas mitbekommt.

Nach der Initialisierung verbindet sich das SDK zunächst mit einem Command-and-Control-Server (CC). Die aktuelle Adresse des CC-Servers erhält das SDK über eine Anfrage an https://d3hdbjtb1686tn.cloudfront.net/gpsdk.html. Die Antwort auf diesen Request enthält im X-Origin-Header dann die aktuelle Adresse eines aktiven CC-Servers. Einer der aktiven CC-Server war beispielsweise https://s.hisp.in.

Anschließend sendet das SDK über die Anfrage https://s.hisp.in/v1/spin/init eine große Menge technischer Informationen über das infizierte Gerät an den CC-Server. Das umfasst Daten von Sensoren wie dem Gyroskop oder dem Magnetometer, die dazu dienen können, eine Emulatorumgebung zu erkennen und das Modul entsprechend anzupassen. Damit wollen die Entwickler des Spyware-SDK offenbar ausschließen, dass Sicherheitsforscher den Trojaner in einem geschützten Environment genauer analysieren können.

Des Weiteren erhält das SDK eine Liste von URLs vom CC-Server, die es dann in Webview öffnet, um Werbebanner anzuzeigen. Zu diesem Webview fügt das SDK ein Javascript-Interface hinzu. Dieses Interface erlaubt Zugriff auf die Methoden in den Klassen »com.spin.ok.gp.web.BaseJsInterface« und »com.spin.ok.gp.code«. Dadurch kann das Trojaner-SDK in den geladenen Webseiten sicherheitskritische Methoden ausführen, um:

• eine Liste der Dateien in bestimmten Verzeichnissen zu erhalten (Methode (»listFiles()«),
• Dateien zu lesen (Methode »getFileContent()«-),
• die Präsenz einer bestimmten Datei oder eines Verzeichnisses auf dem Gerät zu überprüfen (Methode »fileExist()«),
• den Zwischenspeicherinhalt zu kopieren (Methode »readClipboard()«) und
• den Zwischenspeicherinhalt zu verändern (Methode »writeClipboard()«).

Das ermöglicht es dem Angreifer, vertrauliche Informationen und Dateien vom Gerät des Nutzers zu erhalten.

Die Spezialisten von Doctor Web fanden das Trojaner-SDK und mehrere Varianten davon in einer Reihe von via Google Play ausgelieferten Apps. Einige von ihnen enthalten bis heute schädliche SDKs, andere waren nur in bestimmten Versionen betroffen oder wurden vollständig aus dem Katalog entfernt. Insgesamt wurde die Spyware in 101 Apps mit mindestens 400 Millionen Downloads entdeckt. Dadurch sind Hunderte Millionen Android-Gerätebesitzer dem Risiko der Cyberspionage ausgesetzt. Doctor Web informierte Google über die aufgedeckte Bedrohung zeitnah.

Betroffen sind unter anderem die Apps Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, FizzoNovel, CashEM und Tick. (jcb)