Dass es in App-Stores außerhalb von Google Play zahlreiche Apps gibt, die im offiziellen Play-Store kostenpflichtig sind, ist für manche Anwender verlockend. Dass dies jedoch mit Gefahren verbunden ist, zeigt ein Forschungsbericht über eine neue Android-Malware namens "Gooligan".
Nach einer aktuellen Analyse von Checkpoint sind Geräte betroffen, die ältere Versionen des Android-Betriebssystems installiert haben. Gooligan nutzt zwei bekannte und dokumentierte Sicherheitslücken, um die Geräte zu rooten. In der Folge lädt das Gerät selbständig weitere Apps nach. Dadurch sollten die Downloadzahlen dieser Apps gesteigert und damit deren Ranking verbessert werden. Wem diese Vorgehensweise bekannt vorkommt, der liegt goldrichtig: Bereits Mitte des Jahres hat die HummingBad-Malware mit der gleichen Vorgehensweise von sich Reden gemacht.
Was sind die Risiken?
Da Gooligan ebenso wie HummingBad die infizierten Geräte rootet, hat ein Angreifer vollen Zugriff auf alle Daten, die auf dem Gerät gespeichert sind. Zwar ist bisher nicht bekannt geworden, dass Zugriff auf Bilder, Dokumentenspeicher oder ähnliches genommen wurde - die technische Möglichkeit besteht allerdings.
Um weitere Apps laden zu können, stiehlt Gooligan das so genannte Authentisierungs-Token des Google-Kontos, mit dem der Benutzer angemeldet ist. Hat der Angreifer dieses Token erbeutet, kann er mit diesem auf alle Google-Dienste zugreifen, bei denen der Kontoinhaber angemeldet ist. Sicherungsmaßnahmen wie eine Zwei-Stufen-Anmeldung sind hier wirkungslos - aus Sicht der Google-Server ist derjenige, der das richtige Token hat, ordnungsgemäß angemeldet.
Authentisierungs-Token
Ein solches Token ist vergleichbar mit einer Art Mitarbeiterausweis, wie er in vielen Firmen üblich ist. Der Träger des Ausweises kann sich mit diesem im Gebäude bewegen, ohne sich weiter legitimieren zu müssen. Stiehlt nun jemand diesen Ausweis und heftet ihn sich selbst an, kann er sich genau so frei im Gebäude bewegen wie derjenige, für den der Ausweis eigentlich ausgestellt wurde - er hat also auch dieselben Zugangsberechtigungen wie der Bestohlene.
Wie viele Geräte sind betroffen?
Potenziell sind alle Android-Smartphones und -Tablets betroffen, auf denen Android 4 oder Android 5 installiert ist und mit denen Apps von einer inoffiziellen Variante von Google Play bezogen werden. Geräte mit aktuellen Android-Versionen, die regelmäßig Sicherheitsupdates laden, sind nicht betroffen.
Es sind allerdings immer noch sehr viele Geräte im Umlauf, für die aktuellere Versionen von Android (noch) nicht verfügbar sind. Allein die "Kit Kat" und die "Lollipop" -Versionen von Android machen noch immer fast 60% aller weltweit aktiven Installationen aus.
Bisher gibt es keine Anzeichen dafür, dass Gooligan gezielt gegen bestimmte Personen oder Firmen eingesetzt wird.
Was unternimmt Google?
Google hat bereits alle betroffenen Anwender informiert und gestohlene Authentisierungs-Token für ungültig erklärt. Damit sind diese für die Angreifer wertlos. Betroffene Nutzer müssen sich neu authentisieren, wenn die Infektion beseitigt ist. Leider ist die einzig verlässliche Methode zur Beseitigung einer Gooligan-Infektion, das Gerät auf Werkseinstellungen zurück zu setzen. So ist sicher gestellt, dass sowohl der illegitime Root-Zugang als auch die infizierte App entfernt werden. Alle Apps, deren Ranking durch die Aktionen von Gooligan profitiert haben, sind aus Google Play entfernt worden.
Zusätzlich wurde eine Liste mit Apps erstellt, die erwiesenermaßen mit Gooligan infiziert sind.
Wie kann man sich schützen?
Den wirksamsten Schutz bietet derzeit die Verwendung einer Android-Version, welche die von Gooligan ausgenutzten Sicherheitlücken nicht mehr aufweist. Da dies jedoch nicht immer möglich ist, sollten Benutzer Vorsicht walten lassen, wenn es um die Verwendung eines inoffiziellen App-Stores geht. Wie G DATA bereits vor einiger Zeit herausgefunden hat, ist auf manchen Drittanbieterplattformen mehr als ein Viertel der erhältlichen Apps mit Schadsoftware belastet.
Gerade, wenn ein Smartphone oder ein Tablet geschäftlich genutzt wird und zur oben genannten Risikogruppe gehört, ist erhöhte Vorsicht geboten. Je nach dem, welche Art von Daten auf einem solchen Gerät gespeichert oder verarbeitet werden, sind auch diese Daten potenziell für Angreifer zugänglich.
Die Installation eines wirksamen Malwareschutzes gehört nicht zuletzt wegen solcher Berichte sowohl für Privatanwender als auch im geschäftlichen Umfeld zum guten Ton.
