Malware trotz Play Protect
Wie in diesem Zusammenhang vom googlewatchblog verlautet haben Sicherheitsforscher von Trend Micro jetzt einen neuen Exploit entdeckt, der von mehreren Apps im Play Store ausgenutzt worden ist, die zusammen mehr als 500.000 Nutzer erreicht haben und beide unter der Bezeichnung „Smart AppLocker“ zu finden waren.
Es waren offenbar gleich mehrere Tricks mit denen die Apps sich vollen Zugriff auf das System gesichert haben. So wurden im Hintergrund unsichtbare Werbebanner geladen und diese angeklickt , um somit die Tätigkeit des Angreifers zu finanzieren.
Nutzer muss Zugriff gewähren
Der Nutzer musste lediglich den Zugriff auf die Accessibility Services gewähren. Damit war es der App möglich auf andere Apps zuzugreifen und über diese zu zeichnen, alles andere geschah dann im Hintergrund.
Dem Nutzer wurde ein Analyse-Bildschirm angezeigt, in Wirklichkeit wurden im Hintergrund aber andere Apps und Einstellungen geöffnet und diese praktisch ferngesteuert. Auf diese Weise konnte sich die App selbst weitere Rechte beschaffen, lud neue APK-Dateien herunter, installierte diese und schützte sich auch gleich selbst vor der Deinstallation, wie es weiter dazu heißt. Mittels des Systems „Toast Messages“ gelang es hierbei die App im Vordergrund erscheinen zu lassen.
TOASTAMIGO
Der Weg hin zu diesem Exploit war bereits seit Monaten als Clickjacking bekannt. Nun wird das gleiche Prinzip TOASTAMIGO genannt.
Betroffen sind alle Android-Smartphones bis Android 8.0 Oreo oder auch alle Smartphone die das aktuelle Sicherheits-Update von Android erhalten haben, denn Google hat die Lücke dort mittlerweile gestopft.
Daneben verfolgt Google die Ausschaltung der Problematik mit verstärkten Restriktionen für die Accessibility Services.
