Vor kurzem hatten wir schon einmal über die baldige Verfügbarkeit von Google Play Protect auf sämtlichen Android-Geräte berichtet. Und eben dieses Google Play Protect hat nun im Play Store einen Staatstrojaner mit Namen “Lipizzan” entdeckt.
Beim Durchsuchen des Play Store haben die Sicherheitsforscher von Google eine neue Malware entdeckt, bei der sich sich wohl eindeutig um einen Staatstrojaner handelt.
Ein Staatstrojaner ist einen Art Trojanisches Pferd, welches ja in der Antike für den Sieg der Griechen über Troja stand. Die Geschichte kennt jeder: Die Griechen schenkten Troja ein hölzernes, aber hohles Pferd, in dessen Bauch sich Krieger befanden. Und so ist es auch mit der Staatstrojaner-Malware: Diese ist häufig ein Teil eines nützlichen Programms, hat aber im Hintergrund ohne das Wissen des Nutzers eine völlig andere Funktion.
Google hat herausgefunden, dass weniger als 100 Geräte von der Malware betroffen waren, obwohl mehr als 20 Apps im Play Store damit infiziert waren. Somit kam schnell der Verdacht auf einen Staatstrojaner auf. Außerdem wurden alle betroffenen Apps von einem israelischen Sicherheitsunternehmen entwickelt, welches seit Jahren “Staatstrojaner” an Behörden verkauft.
Die Malware wurden von Google “Lipizzan” getauft und ihre Funktion folgendermaßen beschrieben: Sie tarnen sich als ungefährliche Apps (z.B. Backup oder Cleaner) und werden dann aus der Ferne gesteuert, um Schadprogramme nachzuladen. Und mit diesen Schadprogrammen können Anrufe mitgehört, Mikrofone dauerhaft eingeschaltet, Screenshots angefertigt, oder der Standort festgestellt sowie Fotos erstellt werden. Des Weiteren haben die Apps Funktionen, die ihnen den Zugriff auf Daten von WhatsApp, Gmail, Snapchat, Skype und anderen erlauben. Der Nutzer hat hierfür keine Zustimmung gegeben und die Apps nutzen einfach nur eine Reihe von Sicherheitslücken im Betriebssystem aus.
Nach der Entdeckung der Malware wurden die betroffenen Apps umgehend aus dem Play Store entfernt. Jedoch ist nach einigen Tagen der gleiche Code wieder im Play Store aufgetaucht, allerdings in anderen Apps mit Bezeichnungen wie “Notepad”, “Cleaner” oder auch “Sound Recorder”. In der zweiten Stufe wurden die schadhaften Inhalte außerdem verschlüsselt heruntergeladen und sind somit noch schwerer zu entdecken. Jedoch war das Google-Team vorgewarnt.
Mittlerweile kann das neue Google Play Protect diese Apps sowie den Code entdecken und entfernt solche Apps automatisch aus dem Play Store. Alle betroffenen Nutzer wurden von Google über die mögliche Spionage in der Vergangenheit informiert. Die Installation von neuen Apps mit diesem Code wurde auf allen neuen Geräten blockiert.
