Gefälschte „System Update“-App, die seit ihrem ersten Erscheinen im Jahr 2014 von über einer Million Benutzern heruntergeladen wurde.
Die SMS-Malware ermöglicht es Angreifern, den genauen Standort der Opfer zu lokalisieren.
Nach Angaben eines Sicherheitsunternehmens blieb Android-Malware, die in der Lage war, auf den Standort von Smartphone-Benutzern zuzugreifen und diese an Cyberangreifer zu senden, drei Jahre lang unentdeckt im Google Play Store.
Von der IT-Sicherheit entdeckt Forscher bei ZscalerDie Android-Spyware SMSVova gibt sich als Systemupdate im Play Store aus und wurde seit ihrem ersten Erscheinen im Jahr 2014 zwischen einer und fünf Millionen Mal heruntergeladen.
Die App behauptet, Benutzern Zugriff auf die neuesten Android-Systemaktualisierungen zu gewähren. Dabei handelt es sich in Wirklichkeit um Malware, die darauf abzielt, das Smartphone des Opfers zu kompromittieren und den genauen Standort des Benutzers in Echtzeit anzuzeigen.
Forscher werden gegenüber der Anwendung misstrauisch, unter anderem aufgrund einer Reihe negativer Bewertungen Sie beschweren sich darüber, dass die App das Android-Betriebssystem nicht aktualisiert, dass die Telefone langsam laufen und der Akku leer wird Leben. Weitere Indikatoren, die dazu führten, dass Zscaler sich mit der App befasste, waren leere Screenshots auf der Store-Seite und keine angemessene Beschreibung dessen, was die App tatsächlich tut.
Tatsächlich ist die einzige Information, die die Store-Seite über die „System Update“-App bereitstellt, dass sie „spezielle Standortfunktionen aktualisiert und aktiviert“. Es sagt dem Benutzer nicht, was es wirklich tut: Es sendet Standortinformationen an Dritte, eine Taktik, die es ausnutzt, um Ziele auszuspionieren.
SMSVova im Google Play Store.
Sobald der Benutzer die App heruntergeladen hat und versucht, sie auszuführen, wird ihm sofort eine Nachricht angezeigt mit der Meldung „Leider wurde der Update-Dienst gestoppt“ und die App verbirgt ihr Ausführungssymbol auf dem Gerät Bildschirm.
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
Aber die App ist nicht gescheitert: Vielmehr richtet die Spyware eine Funktion namens MyLocationService ein, um die letzten Informationen abzurufen den bekannten Standort des Benutzers und richten Sie ihn in den Shared Preferences ein, der Android-Oberfläche zum Zugriff und zur Änderung Daten.
Die App richtet außerdem einen IncomingSMS-Empfänger ein, der nach bestimmten eingehenden Textnachrichten sucht, die Anweisungen für die Malware enthalten. Wenn der Angreifer beispielsweise eine SMS mit der Aufschrift „FAQ abrufen“ an das Gerät sendet, antwortet die Spyware mit Befehle für weitere Angriffe oder das Passworten der Spyware mit „Vova“ – daher der Name der Schadsoftware.
Zscaler-Forscher vermuten, dass die Abhängigkeit von SMS zum Starten der Malware der Grund dafür ist, dass Antivirensoftware sie in den letzten drei Jahren zu keinem Zeitpunkt erkannt hat.
Sobald die Malware vollständig eingerichtet ist, ist sie in der Lage, den Gerätestandort an die Angreifer zu senden – Wer sie sind und warum sie die Standortinformationen normaler Android-Benutzer erhalten möchten, bleibt jedoch bestehen Geheimnis.
Die App wurde seit Dezember 2014 nicht mehr aktualisiert, infiziert aber immer noch Hunderttausende Opfer Seitdem und wie Forscher anmerken, bedeutet das Fehlen eines Updates nicht, dass die Funktionalität der Malware beeinträchtigt ist tot.
Interessant ist jedoch, dass SMSVova offenbar Code mit anderen teilt der DroidJack-TrojanerDies deutet darauf hin, dass es sich bei demjenigen, der hinter der Malware steckt, um einen erfahrenen Akteur handelt, der offenbar auf Android-Systeme spezialisiert ist.
Die gefälschte Systemaktualisierungs-App wurde nun aus dem Google Play Store entfernt, nachdem Zscaler sie dem Google-Sicherheitsteam gemeldet hatte, obwohl das nichts hilft Personen, die es in den letzten drei Jahren heruntergeladen haben und wer möglicherweise noch von SMSVova kompromittiert wird.
Während Google behält die überwiegende Mehrheit seiner 1,4 Milliarden Android-Nutzer ist sicher Von Malware kommt es immer wieder vor Schadsoftware Und sogar Ransomware die es schaffen, sich an ihren Abwehrmechanismen vorbei in den offiziellen Android-Store zu schleichen.
ZDNet hat Google um einen Kommentar dazu gebeten, warum die Malware drei Jahre lang im Play Store war, hat aber noch keine Antwort erhalten.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
- Hacker nutzen diese Android-Malware, um israelische Soldaten auszuspionieren
- So erkennen Sie, ob auf Ihrem Android-Telefon die HummingBad-Malware installiert ist [CNET]
- Berühren Sie diese Android-Einstellung nicht und die meisten Malware-Programme lassen Sie in den meisten Fällen in Ruhe
- Android Security Bulletin April 2017: Was Sie wissen müssen [TechRepublic]
- Vorsicht bei Android: Die staatlich unterstützte Pegasus-Spyware nutzt Mobiltelefone zum Abhören und Erfassen von Daten