Die Berichte über Sicherheitslücken in Googles mobilem Betriebssystem Android haben gerade im Verlaufe des letzten Jahres massiv zugenommen. Die reale Gefährdungslage hat sich dadurch allerdings bisher kaum geändert, wirklich große Angriffswellen sind fast ausschließlich auf Geräte beschränkt, die ihre Apps nicht aus dem offiziellen Play Store beziehen. Nun ist ein neuer Angreifer aufgetaucht, der Millionen Android-Geräte gefährden soll – und deren Benutzer zu erpressen versucht.

Ransomware

Der Sicherheitsdienstleister Blue Coat warnt vor einem neuen Schädling namens Dogspectus. Dieser verwendet bekannte, aber bei vielen Geräten noch nicht geschlossene Sicherheitslücken, um auf Smartphones oder Tablets einzubrechen und dort die Daten zu verschlüsseln. Wie von Windows Ransomware bekannt, folgt danach eine erpresserische Mitteilung an die User, wie sie wieder an ihre Daten kommen können – natürlich erst nachdem den Kriminellen Geld überwiesen haben.

Einbruch

Dogspectus verbreit sich über Webpages, es reicht also mit einem verwundbaren Gerät eine entsprechend manipulierte Seite anzusurfen. Dabei nutzt der Schädling zunächst einen Fehler in der Linux-Bibliothek libxslt, die vom alten Android Browser genutzt wird. Den passenden Exploit hat man aus der Sammlung des umstrittenen italienischen Unternehmens Hacking Team übernommen. Anschließend verschafft sich Dogspectus mittels des bereits seit Ende 2014 bekannten Towelroot-Exploit Root-Rechte, um Zugriff auf sämtliche lokalen Daten zu erhalten.

Laborbedingungen

Bei all dem bleibt einmal mehr offen, wie groß die reale Gefährdung tatsächlich ist. Blue Coat betont, dass man den Schädling auf einem der eigenen Testgeräte mit CyanogenMod 10 / Android 4.2.2 gefunden hat. Neuere Versionen des Betriebssystems sind nicht für den Hacking-Team-Exploit anfällig, und selbst auf ungeschützten Geräten reicht es, statt dem offiziellen Android Browser eine andere App wie Chrome oder Firefox für das Surfen im Netz zu verwenden.

Spekulationen

Blue Coat betont allerdings, dass die eigenen Untersuchungen Hinweise auf von Dogspectus übernommene Android-Geräte liefern, die mit Softwareversionen ausgestattet sind, die eigentlich nicht für den libxslt-Exploit anfällig sind. Eventuell versuchen die Erpresser hier also auf mehreren Wegen auf Android-Geräte zu gelangen. Einen Beweis für diese Vermutung gibt es bislang allerdings noch nicht. (apo, 28.4.2016)