Malware-Familie Lipizzan
Wie futurezone.de unter Berufung auf einen Blogeintrag von Google berichtete, ist es leider keine Seltenheit, dass Malware in den PlayStore eindringt. Im aktuellen Fall weist die Schadsoftware zahlreiche Merkmale eines Staatstrojaners auf. Die Analyse des Malware-Codes gab Hinweise darauf, dass die Autoren aus dem Hause Equus Technologies stammen. Diese israelische Firma, die Google als „Cyber Arms Company“ bezeichnet, soll schon seit mehreren Jahren kommerzielle Malware an Regierungen und Behörden verkauft haben, wie Motherboard unter Berufung auf eine Quelle in der Überwachungsbranche berichtete.
Ein weiteres Indiz für einen Staatstrojaner ist die Tatsache, dass weniger als 100 Geräte mit Lipizzan infiziert waren. Das sind bei 20 Apps, die die Malware verteilt haben sehr wenig und es lässt vermuten, dass hier ein gezielter Spionageangriff auf wenige Geräte erfolgte. Daneben wird das Risiko gesenkt, dass die Malware entdeckt wird.
Gezielte Opferauswahl
Wie es heißt, sind es zwei Stufen in denen die Infektion der Opfer erfolgt. Im ersten Schritt gelangt die Malware über die infizierten Apps auf das Smartphone. Im zweiten Schritt wird durch Lipizzan Code nachgeladen, der das Smartphone untersucht. Erst wenn bestimmte Anforderungen erfüllt sind wir die Infektion fortgesetzt. Das bedeutet die Malware erlangt über Schwachstellen Root-Zugriff, greift Daten ab und sendet diese zu einem Server.
Lipizzan hat zahlreiche Spionagefunktionen. Es kann:
- Anrufe aufnehmen
- das Mikrofon für einen Lauschangriff nutzen
- Ortsdaten aufzeichnen
- Screenshots und Fotos machen
- SMS und Kontakte abgreifen
Außerdem hat Google in dem Code von Lipizzan Routinen entdeckt, um auf Daten von Apps wie Gmail, Skype, Messenger und WhatsApp zuzugreifen.
Google blockierte infizierte Apps
Es waren Apps betroffen, die sich meist als Backup-Apps getarnt haben, die Google im Play Store blockiert hatte. Innerhalb von nur einer Woche tauchten mehrere neue mit Lipizzan infizierte Apps im Play Store auf. Sie tarnten sich als:
- Cleaner
- Notepad
- Sound Recorder
- Alarm Manager
Daneben wurde auch der zweite Infektions-Schritt geändert. Dieser wurde jetzt verschlüsselt auf Smartphones heruntergeladen. Google wertet das als Hinweis darauf, dass sich die Autoren der Malware sich für genau diesen Fall vorbereitet haben. Doch auch die neuerlichen Verschleierungsversuche wurden entdeckt und Google blockierte die infizierten Apps ebenfalls.
Einsatz von Google Play Protect
Google Play Protect, der automatische Schutz, der auf nahezu allen Android-Smartphones aktiv ist, wurde angepasst, um Lipizzan zu finden und von infizierten Geräten zu löschen. User, deren Smartphones bereits mit Lipizzan infiziert waren, wurden von Google informiert.
Weiterführende Links:
googleblog.com: From Chrysaor to Lipizzan: Blocking a new targeted spyware family
futurezone.de: User des Google Play Stores wurden mit Schadsoftware infiziert