SPIEGEL ONLINE

SPIEGEL ONLINE

17. Februar 2018, 11:34 Uhr

Digitale Selbstverteidigung

Android-Schädlinge erkennen und entfernen

Von "c't"-Redakteur Jörg Wirtgen

Auch wenn ständig vor Android-Schadsoftware gewarnt wird: Es gibt keinen Grund, das Handy übervorsichtig in den Sondermüll zu geben. Einfach nichts zu tun wäre allerdings auch die falsche Strategie.

Da kann einem schon etwas mulmig werden - ständig tauchen Sicherheitslücken in Android selbst, in den Prozessoren und in Apps auf. Am berüchtigtsten sind zurzeit Meltdown und Spectre: Die raffinierten Angriffe gegen Smartphone- und Tablet-Prozessoren lassen sich nur durch Firmware-Updates von den Geräteherstellern (Googles Security-Patch vom Januar ist erforderlich) und durch App-Updates abwehren - vor allem Browser sind gefährdet. Noch wurden allerdings keine echten Schädlinge beobachtet, die diese Angriffe ausführen.

Aber es gibt noch viel mehr Bedrohungen: AdultSwine ist eine Malware, die vor allem Pornowerbung nachlädt, überteuerte Abodienste anbietet und zur Installation dubioser Security-Apps auffordert. Eine ähnliche Malware lauert im SDK "Ya Ya Yun", das offenbar viele App-Entwickler nutzen. Damit erstellte Programme öffnen heimlich im Hintergrund Webseiten und klicken die Werbebanner an.

Beide Malwares sind Google beim Virencheck durchgerutscht und stecken laut Sicherheitsforschern in über 100 Apps. Inzwischen hat Google die betroffenen Apps aus dem Store geworfen, aber Android deinstalliert sie nicht automatisch. Anwender müssen sie selbst herunterwerfen. Da vor allem Spiele betroffen sind, sollten Eltern auch die Smartphones ihrer Kinder überprüfen. Eine Liste mit den betroffenen Apps finden Sie hier.

Digitale Wanzen

Skygofree und Dark Caracal sind ausgefeilte Spionage-Kits, die infizierte Handys nicht nur nach persönlichen Daten wie Adressbüchern und Chat-Inhalten durchsuchen, sondern auch in Wanzen verwandeln, also Mikrofon und Kamera aktivieren und die Aufnahmen an die Angreifer verschicken können. Möglicherweise verschaffen sie sich sogar Root-Zugang.

Nach bisherigem Kenntnisstand fängt man sich beide Spionage-Kits nicht im Google Store ein, sondern höchstens über manipulierte Apps aus dubiosen Kanälen. Möglicherweise muss der Angreifer sie auch direkt auf dem Handy installieren, wenn der Besitzer es eine Zeitlang unbeaufsichtigt lässt; man muss sich also persönlichen Angriffen etwa durch Behörden ausgesetzt sehen. Sicherheitsforscher vermuten zumindest hinter Skygofree einen italienischen Staatstrojaner.

Schutzmaßnahmen

Diese anscheinende Häufung von Sicherheitslücken zeigt zwei Trends: Erstens sind Smartphones immer öfter das Ziel von direkten Angriffen. Doch wenn ein Angreifer physischen Zugriff auf Handy oder PC hat, stehen ihm sowieso nahezu unbegrenzte Möglichkeiten offen. Zweitens werden die Grenzen der Store-Virenscanner von Google, Apple und Microsoft deutlich: Sie entdecken nur Bekanntes. So lange die Gefährlichkeit eines Werbe-SDKs unerkannt bleibt oder kein Spectre-Schädling existiert, finden sie nichts.

Auch die Virenscanner auf dem Smartphone helfen nur eingeschränkt weiter, vor allem, weil sie unter Android auf wenig mehr achten können als bekannte Schädlingssignaturen. Eine verhaltensbasierte Erkennung ist aufgrund der Sicherheitsstruktur von Android nicht möglich - aus diesem Grund sind immerhin Schädlinge wie Verschlüsselungstrojaner nur eingeschränkt möglich.

Besser helfen andere Vorsichtsmaßnahmen:

Ein beliebter Ratschlag ist, auf die angeforderten Rechte einer App zu schauen, bevor man sie installiert. Doch dabei muss man sich mit so vielen Fehlalarmen beispielsweise aufgrund der Werbe-SDKs der werbefinanzierten Apps herumschlagen, dass echte Schädlinge einem möglicherweise entgehen.

Aktuelle Android-Geräte fragen nochmals nach, wenn eine App Rechte etwa zur Standortverfolgung und Zugriff auf die Kontakte anfordert. Sie können dann immer noch ablehnen, wodurch einige Apps allerdings nicht mehr funktionieren.

Gegenmaßnahmen

Wenn Sie ein ungewöhnliches Verhalten Ihres Smartphones bemerken, könnte es befallen sein; einzelne Vorkommnisse dieser Liste haben allerdings meist andere Gründe. Überprüfen Sie zuerst in den Einstellungen die Gerätemanager oder Geräteadministratoren. Hier dürften im Allgemeinen nur Googles Mein Gerät finden und Ihnen bekannte Apps stehen, etwa Ihre E-Mail-App.

Wenn eine App sich seltsam benimmt oder in einer Liste von infizierten Apps auftaucht, deinstallieren Sie die App sofort. Die einfachen Schädlinge haben Sie dadurch abgewehrt. Komplizierter wird es, wenn der Schädling einen Rooting-Angriff durchgeführt hat: In vielen Fällen dürfte das eine der Root-Checker-Apps entdecken, ein guter Schädling mag sich aber erfolgreich vor ihnen verstecken.

Löschen Sie fragwürdige Einträge.

Wenn Sie einen Schädling entdeckt haben oder vermuten, könnte der schon sein Unwesen getrieben haben. Überprüfen Sie also Ihre Kreditkarten- und Telefon-Abrechnungen, auch in den folgenden Wochen.

Vor allem bei Rooting- und Gerätemanager-Angriffen sowie einem Schädling in der Tastatur-App: Ändern Sie - und zwar unbedingt an einem anderen Gerät - alle Passwörter, die der Schädling mitgeschnitten haben könnte. Eine gute Maßnahme bei dieser Gelegenheit wäre, eine Zwei-Faktor-Authentifizierung überall dort zu aktivieren, wo es möglich ist.

Sofern ein Gerätemanager- oder Rooting-Angriff stattgefunden hat, sollten Sie das Handy unbedingt auf Werkseinstellungen zurücksetzen und sämtliche Apps neu installieren - nicht ohne vorher ein Backup Ihrer wichtigen Daten und Fotos anzulegen.

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung