Digitale Selbstverteidigung Android-Schädlinge erkennen und entfernen

Auch wenn ständig vor Android-Schadsoftware gewarnt wird: Es gibt keinen Grund, das Handy übervorsichtig in den Sondermüll zu geben. Einfach nichts zu tun wäre allerdings auch die falsche Strategie.

ct

Von "c't"-Redakteur Jörg Wirtgen


Da kann einem schon etwas mulmig werden - ständig tauchen Sicherheitslücken in Android selbst, in den Prozessoren und in Apps auf. Am berüchtigtsten sind zurzeit Meltdown und Spectre: Die raffinierten Angriffe gegen Smartphone- und Tablet-Prozessoren lassen sich nur durch Firmware-Updates von den Geräteherstellern (Googles Security-Patch vom Januar ist erforderlich) und durch App-Updates abwehren - vor allem Browser sind gefährdet. Noch wurden allerdings keine echten Schädlinge beobachtet, die diese Angriffe ausführen.

Aber es gibt noch viel mehr Bedrohungen: AdultSwine ist eine Malware, die vor allem Pornowerbung nachlädt, überteuerte Abodienste anbietet und zur Installation dubioser Security-Apps auffordert. Eine ähnliche Malware lauert im SDK "Ya Ya Yun", das offenbar viele App-Entwickler nutzen. Damit erstellte Programme öffnen heimlich im Hintergrund Webseiten und klicken die Werbebanner an.

Beide Malwares sind Google beim Virencheck durchgerutscht und stecken laut Sicherheitsforschern in über 100 Apps. Inzwischen hat Google die betroffenen Apps aus dem Store geworfen, aber Android deinstalliert sie nicht automatisch. Anwender müssen sie selbst herunterwerfen. Da vor allem Spiele betroffen sind, sollten Eltern auch die Smartphones ihrer Kinder überprüfen. Eine Liste mit den betroffenen Apps finden Sie hier.

Digitale Wanzen

Skygofree und Dark Caracal sind ausgefeilte Spionage-Kits, die infizierte Handys nicht nur nach persönlichen Daten wie Adressbüchern und Chat-Inhalten durchsuchen, sondern auch in Wanzen verwandeln, also Mikrofon und Kamera aktivieren und die Aufnahmen an die Angreifer verschicken können. Möglicherweise verschaffen sie sich sogar Root-Zugang.

Nach bisherigem Kenntnisstand fängt man sich beide Spionage-Kits nicht im Google Store ein, sondern höchstens über manipulierte Apps aus dubiosen Kanälen. Möglicherweise muss der Angreifer sie auch direkt auf dem Handy installieren, wenn der Besitzer es eine Zeitlang unbeaufsichtigt lässt; man muss sich also persönlichen Angriffen etwa durch Behörden ausgesetzt sehen. Sicherheitsforscher vermuten zumindest hinter Skygofree einen italienischen Staatstrojaner.

Schutzmaßnahmen

Diese anscheinende Häufung von Sicherheitslücken zeigt zwei Trends: Erstens sind Smartphones immer öfter das Ziel von direkten Angriffen. Doch wenn ein Angreifer physischen Zugriff auf Handy oder PC hat, stehen ihm sowieso nahezu unbegrenzte Möglichkeiten offen. Zweitens werden die Grenzen der Store-Virenscanner von Google, Apple und Microsoft deutlich: Sie entdecken nur Bekanntes. So lange die Gefährlichkeit eines Werbe-SDKs unerkannt bleibt oder kein Spectre-Schädling existiert, finden sie nichts.

Auch die Virenscanner auf dem Smartphone helfen nur eingeschränkt weiter, vor allem, weil sie unter Android auf wenig mehr achten können als bekannte Schädlingssignaturen. Eine verhaltensbasierte Erkennung ist aufgrund der Sicherheitsstruktur von Android nicht möglich - aus diesem Grund sind immerhin Schädlinge wie Verschlüsselungstrojaner nur eingeschränkt möglich.

Besser helfen andere Vorsichtsmaßnahmen:

  • Installieren Sie Apps nur aus vertrauenswürdigen Stores etwa von Google, Amazon oder F-Droid; meiden Sie Apps mit wenigen Dutzend Bewertungen.
  • Deaktivieren Sie das Installieren von Apps aus unbekannten Quellen.
  • Klicken Sie (wie auch am PC) nicht auf Links in dubiosen E-Mails oder Social-Media-Beiträgen. Ignorieren Sie an ungewohnten Stellen auftauchende Aufforderungen, Apps zu installieren oder Sicherheitsmaßnahmen zu ergreifen - vor allem im Browser oder beim Spielen.
  • Gönnen Sie bei viel genutzten Apps lieber dem Entwickler ein paar Euro, statt sich dem Generve und Risiko von Werbeeinblendungen auszusetzen.
  • Aktivieren Sie die Displaysperre per PIN, Passwort oder Biometrie. Falls das Gerät im Entwicklermodus ist: Schalten Sie das USB-Debugging aus. So erschweren Sie nicht nur Dieben den Zugriff auf Ihre Daten, sondern machen es Angreifern ungleich schwerer, die in Ihrer Abwesenheit Schädlinge installieren möchten.

Ein beliebter Ratschlag ist, auf die angeforderten Rechte einer App zu schauen, bevor man sie installiert. Doch dabei muss man sich mit so vielen Fehlalarmen beispielsweise aufgrund der Werbe-SDKs der werbefinanzierten Apps herumschlagen, dass echte Schädlinge einem möglicherweise entgehen.

Aktuelle Android-Geräte fragen nochmals nach, wenn eine App Rechte etwa zur Standortverfolgung und Zugriff auf die Kontakte anfordert. Sie können dann immer noch ablehnen, wodurch einige Apps allerdings nicht mehr funktionieren.

Gegenmaßnahmen

Wenn Sie ein ungewöhnliches Verhalten Ihres Smartphones bemerken, könnte es befallen sein; einzelne Vorkommnisse dieser Liste haben allerdings meist andere Gründe. Überprüfen Sie zuerst in den Einstellungen die Gerätemanager oder Geräteadministratoren. Hier dürften im Allgemeinen nur Googles Mein Gerät finden und Ihnen bekannte Apps stehen, etwa Ihre E-Mail-App.

Wenn eine App sich seltsam benimmt oder in einer Liste von infizierten Apps auftaucht, deinstallieren Sie die App sofort. Die einfachen Schädlinge haben Sie dadurch abgewehrt. Komplizierter wird es, wenn der Schädling einen Rooting-Angriff durchgeführt hat: In vielen Fällen dürfte das eine der Root-Checker-Apps entdecken, ein guter Schädling mag sich aber erfolgreich vor ihnen verstecken.

Eine einfache, aber wichtige Schutzmaßnahme: die App-Installation aus anderen Quellen als dem Play Store blockieren.
ct

Eine einfache, aber wichtige Schutzmaßnahme: die App-Installation aus anderen Quellen als dem Play Store blockieren.

Löschen Sie fragwürdige Einträge.

Wenn Sie einen Schädling entdeckt haben oder vermuten, könnte der schon sein Unwesen getrieben haben. Überprüfen Sie also Ihre Kreditkarten- und Telefon-Abrechnungen, auch in den folgenden Wochen.

Vor allem bei Rooting- und Gerätemanager-Angriffen sowie einem Schädling in der Tastatur-App: Ändern Sie - und zwar unbedingt an einem anderen Gerät - alle Passwörter, die der Schädling mitgeschnitten haben könnte. Eine gute Maßnahme bei dieser Gelegenheit wäre, eine Zwei-Faktor-Authentifizierung überall dort zu aktivieren, wo es möglich ist.

Sofern ein Gerätemanager- oder Rooting-Angriff stattgefunden hat, sollten Sie das Handy unbedingt auf Werkseinstellungen zurücksetzen und sämtliche Apps neu installieren - nicht ohne vorher ein Backup Ihrer wichtigen Daten und Fotos anzulegen.



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
gersois 17.02.2018
1. Android ist selbst ein Problem
Android ist selbst als Spyware gebaut worden, um den Benutzer auszuschnüffeln. Wenn Apps vom Benutzer "beendet" werden, bleiben sie dennoch im Hintergrund aktiv und halten auch noch Internetverbindungen. Eine eigene Firewall unter Nutzerkontrolle kann man nur installieren, wenn man das Smartphone oder Tablet rootet. Aber der normale Benutzer ist weitgehend entrechtet. Da macht es für Malware eben leicht.
gertner27 17.02.2018
2. Ergänzungen
Spectre und Meltdown sind haben nichts mit Android zutun, sondern sind Hardwarefehler, die es auch bei Apple-Geräten gibt. Das gut bei Android ist, das es dafür viele gute Virenschutzprogramme gibt, mit denen man Schädlinge aufspüren kann. Im Gegensatz dazu gibt es das bei Apple nicht, deshalb können sich auf Apple-Geräten alle möglichen Schädlinge und Spionageprogramme rumtummeln, ohne das man es merkt. Bester Tipp: Sowenige Apps wie möglich installieren und auf kostenlose, werbefinanzierte Apps soweit es geht verzichten. Rooten ist ein Sicherheitsrisiko, deshlab sollten das nur Menschen machen, die damit umgehen können und sich auskennen. Bei Zahlungsgeschäften mit Handy besser ein Virenschutz kaufen.
gertner27 17.02.2018
3.
Zitat von gersoisAndroid ist selbst als Spyware gebaut worden, um den Benutzer auszuschnüffeln. Wenn Apps vom Benutzer "beendet" werden, bleiben sie dennoch im Hintergrund aktiv und halten auch noch Internetverbindungen. Eine eigene Firewall unter Nutzerkontrolle kann man nur installieren, wenn man das Smartphone oder Tablet rootet. Aber der normale Benutzer ist weitgehend entrechtet. Da macht es für Malware eben leicht.
Das ist falsch. Android ist größtenteils Open-Source, deshalb kann das System von jedem geprüft werden, wohingegen iOS von Apple closed-Source ist und deshlab niemand prüfen kann, wieweit es den Benutzer ausspioniert. Das der Benutzer bei Android eingeschränkten Zugang hat, macht das System sicherer, weil auch Schädlinge nicht so leicht sich dort einnisten können. Ist bei Apple genauso. Das ist der Zugang noch eingeschränkter. Informieren sie sich lieber, bevor sie falsche Sachen verbreiten
gersois 17.02.2018
4.
Zitat von gertner27Das ist falsch. Android ist größtenteils Open-Source, deshalb kann das System von jedem geprüft werden, wohingegen iOS von Apple closed-Source ist und deshlab niemand prüfen kann, wieweit es den Benutzer ausspioniert. Das der Benutzer bei Android eingeschränkten Zugang hat, macht das System sicherer, weil auch Schädlinge nicht so leicht sich dort einnisten können. Ist bei Apple genauso. Das ist der Zugang noch eingeschränkter. Informieren sie sich lieber, bevor sie falsche Sachen verbreiten
Erst einmal habe ich nichts zu iOS geschrieben, zweitens nichts, was nicht korrekt ist. Und kommen Sie mir nicht mit dem Open-Source-Linux-Kernel unter Android. Android ist so sicher, dass nicht einmal eine vollständige Sicherung ohne Root möglich ist. Ich bin der Herr meines Computers bzw. Tablets oder Smartphones und ich will bestimmen können, wann eine App stoppt, welche nach außen kommuniziert wohin meine Daten gesichert werden. Und dazu möchte ich nicht erst Tausende von Zeilen Java- oder Kotlin-Code lesen müssen!
quark2@mailinator.com 17.02.2018
5.
Zitat von gersoisAndroid ist selbst als Spyware gebaut worden, um den Benutzer auszuschnüffeln. Wenn Apps vom Benutzer "beendet" werden, bleiben sie dennoch im Hintergrund aktiv und halten auch noch Internetverbindungen. Eine eigene Firewall unter Nutzerkontrolle kann man nur installieren, wenn man das Smartphone oder Tablet rootet. Aber der normale Benutzer ist weitgehend entrechtet. Da macht es für Malware eben leicht.
Hinzu kommt die Nutzung von Softwareknöpfen statt echten mechanischen Schaltern. Es könnte so einfach sein, Kamera, GPS, WLAN und Telefon-Verbindung immer den Saft abzuschalten, wenn man sie nicht nutzen will, aber man kann ja nicht mal das ganze Telefon wirklich ausschalten, außer man nimmt den Akku raus, was auch immer seltener möglich ist und was das Smartphone auch nicht gut ab kann - ggf. vergißt es dann mal eben Datum und Uhrzeit. Absurde Einschränkungen, nur weil Softbuttons ja sooo cool sind. Werde auch nie verstehen, warum die Hersteller keine kleine Plastikblende über die Kameralinse machen. Da muß man nun PostIts nehmen :-( ... Insgesamt könnte man mit etwas Paranoia schon annehmen, daß die Smartphones absichtlich so gebaut und programmiert werden, daß die Nutzer das größte Risiko laufen, überwacht zu werden. Schon alleine, daß man Apps nicht mehr auf SD-Karten auslagern kann ... tsss
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.