Chinesische Spyware im Google Play-Store
Zwei mit China in Verbindung gebrachte Spyware-Programme mit insgesamt rund 1,5 Millionen Downloads wurden kürzlich im Google Play Store entdeckt. Beide Anwendungen stammen vom selben Entwickler und geben sich als Dateiverwaltungsanwendungen aus. Sie weisen ähnliche bösartige Verhaltensweisen auf und sind darauf programmiert, ohne das Zutun der Nutzer gestartet zu werden und sensible Nutzerdaten heimlich an verschiedene bösartige Server in China weiterzuleiten.
Laut einem Pradeo Blog-Artikel von Roxane Suau geben die Profile der beiden Anwendungen im Google Play Store an, dass sie keine Daten von den Geräten der Nutzer sammeln, was sich jedoch als Fehlinformation herausgestellt hat. Darüber hinaus wird behauptet, dass die Nutzer im Falle einer Datenerfassung keine Löschung ihrer Daten beantragen können, was gegen Datenschutzgesetze wie die DS-GVO verstößt.
Die Berichte der Verhaltensanalyse-Engine von Pradeo zeigen, dass beide Spyware-Programme sehr persönliche Daten von ihren Zielpersonen sammeln und sie an eine große Anzahl von Zielen senden, die sich hauptsächlich in China befinden und als bösartig identifiziert wurden. Zu den gestohlenen Daten gehören Kontaktlisten der Benutzer, sowohl vom Gerät selbst als auch von verbundenen Konten wie E-Mails und sozialen Netzwerken. Auch Medieninhalte wie Bilder, Audio- und Videoinhalte werden erfasst. Zusätzlich werden Echtzeit-Standorte der Benutzer, Mobilfunk-Ländercodes, Netzwerkprovider-Namen, SIM-Netzwerkcodes, Betriebssystemversionsnummern, Geräte-Marken und -Modelle erfasst.
Es wurden über hundert Übertragungen der gesammelten Daten durchgeführt – eine außergewöhnlich hohe Anzahl, die ansonsten selten erreicht wird.
Um den Erfolg ihrer bösartigen Aktivitäten zu steigern, nutzen die Hacker raffinierte Taktiken. Sie lassen ihre Anwendungen legitim aussehen, indem sie eine große Anzahl von Nutzern vortäuschen, obwohl keine Bewertungen vorhanden sind. Hierfür haben sie möglicherweise Installationsfarmen oder mobile Geräteemulatoren verwendet, um die Zahlen zu fälschen und die Anwendungen in den Kategorielisten des Stores besser zu platzieren, um ihre scheinbare Legitimität zu erhöhen.
Um sicherzustellen, dass ihre Anwendungen aktiv bleiben und nicht deinstalliert werden, erzwingen die Spyware-Programme Neustarts der Geräte durch die Verwendung erweiterter Berechtigungen. Dadurch können sich die Anwendungen automatisch beim Neustart starten und ausführen. Zusätzlich verbergen sie ihre Icons auf dem Startbildschirm, um die Deinstallation zu erschweren. Um sie zu entfernen, müssen die Benutzer die Anwendungsliste in den Einstellungen aufrufen.
Google wurde unverzüglich über diese Entdeckung informiert.
Pradeo gibt folgende Sicherheitsempfehlungen:
Individuen wird geraten, diese Anwendungen zu löschen und keine Anwendungen herunterzuladen, die nicht von einer ausreichenden Anzahl von Nutzern bewertet wurden. Bewertungen spiegeln oft die tatsächliche Natur der Anwendung wider, und es ist wichtig, Berechtigungen sorgfältig zu lesen, bevor sie akzeptiert werden.
Organisationen sollten ihre Mitarbeiter über mobile Bedrohungen sensibilisieren und Maßnahmen ergreifen, um diese zu erkennen und darauf zu reagieren. Dies kann durch die Überprüfung von Anwendungen und das Verhindern ihres Starts ermöglicht werden, wenn sie nicht mit der Sicherheitsrichtlinie der Organisation übereinstimmen. Eine Automatisierung dieser Prozesse kann den Benutzern sichere Flexibilität bieten und vor Bedrohungen schützen.
Hier geht es zum Blog-Beitrag.
