Es gibt zwei Blickwinkel auf die Sicherheitslage unter Android. Da wäre zunächst einmal die unbestrittene Tatsache, dass die Update-Versorgung bei Googles Betriebssystem trotz all der aktuellen Fortschritte noch immer einiges zu wünschen übrig lässt. Dadurch stehen bei vielen Geräten wohl dokumentierte Sicherheitslücken offen. Gleichzeitig zeigen Statistiken aber auch, dass Schadsoftware unter Android weiterhin nur ein sehr wenig verbreitetes Phänomen ist. Das hält Kriminelle aber natürlich nicht davon ab, es auf immer neue Weisen zu versuchen, ein besonders interessantes Beispiel liefert nun norwegische Sicherheitsforscher.

StrandHogg

Unter dem Namen StrandHogg warnt die Firma Promon vor einer neuen Art von Angriffen gegen Android-Smartphones – und zwar eine, die sich auch noch bei aktuellen Geräten ausnutzen lässt. Das liegt daran, dass man sich dabei trickreich einer regulären Funktion des Android-Multitaskings bedient, um die User hereinzulegen – die sogenannte "Task Affinity".

Ein konkreter Angriff läuft dabei in etwa so ab: Eine bösartige App setzt die "Task Affinity" einer oder mehrerer seiner Aktivitäten so, dass sie mit einer anderen App übereinstimmt – also sinnvollerweise mit viel genutzten Programmen wie Facebook oder Youtube. Anschließend gibt es mehrere Möglichkeiten, eine eigene App-Aktivität so zu starten, dass sie als oberstes Fenster auf dem Aktivitätsstapel der Ziel-App landet. Das Ergebnis: Klicken die Nutzer dann auf die solcherart "übernommene" Apps – also im Beispielfall Facebook oder Youtube – wird stattdessen zunächst ein Fenster der bösartigen App dargestellt.

Austricksen

Diesen Trick können Angreifer dann nutzen, um die User auf alle möglichen Arten hereinzulegen. So wäre es etwa möglich, Berechtigungsanfragen zu stellen, die so wirken, als würden sie zu Facebook oder Youtube gehören. In Wirklichkeit erteilen Nutzer, die diesen zustimmen aber der Angriffs-App Zugriff auf die entsprechenden Daten. So könnte dann ein Angreifer die User etwa dazu bringen, Standortdaten oder auch Fotos herauszugeben. Ein anderes Angriffsszenario wäre die Präsentation eines nachgebauten Login-Screens um Passwörter abzugreifen. Da nach dem Beenden der bösartigen Aktivität wieder auf die Original-App zurückgewechselt wird, würde so ein Angriff den meisten wohl gar nicht auffallen, warnen die Sicherheitsforscher.

Geringe Verbreitung

So durchdacht diese Attacken auch sind, gleichzeitig gilt auch hier wieder zu betonen, dass die Verbreitung bisher gering ist. Der Promon-Partner Lookout verweist zwar in einem eigenen Blogposting darauf, dass man insgesamt 36 Apps seit dem Jahr 2017 identifizieren konnte, die den StrandHogg-Angriff nutzen. Darunter auch ein Banking-Trojaner. Gleichzeitig wurden aber keine dieser Apps über den offiziellen Play Store verbreitet. Was Promon hingegen sehr wohl im Play Store gefunden hat, sind eine Reihe von bösartigen Downloader/Dropper-Apps, über die auch Malware mit dem StrandHogg-Angriff verbreitet wurde. Freilich mussten hier die Nutzer noch einmal extra der Installation zustimmen. Google hat diese Apps mittlerweile entfernt.

Ansonsten gibt sich Google in Hinblick auf StrandHogg zurückhaltend. Ganz allgemein verweist man darauf, dass Google Play Protect vor solchen Angriffen schützt, was auch erklärt, warum bisher keine solchen Schad-Apps im Play Store verfügbar waren. Für die Nutzer bleibt der Ratschlag vor allem weiter die Vergabe von Berechtigungen an Apps möglichst gering zu halten, und lieber vorsichtig zu sein, wenn eine App plötzlich die erneute Eingabe eines Passworts verlangt.

Vorgeschichte

Die Attacken erinnern an eine frühere Klasse an Angriffen gegen Android-Smartphones – die sogenannten Overlay-Attacken. Apps konnten lange Overlays nutzen, um eigene Inhalte über andere Programme zu zeichnen. Diese Möglichkeit hat Google mittlerweile massiv eingeschränkt, mit dem kommenden Android 11 dürfte sie voraussichtlich komplett gestrichen werden. Mit den StrandHogg-Attacken dürften Schadsoftwareautoren nun aber einen neuen Trick gefunden haben, insofern ist wohl auch zu erwarten, dass dieser in Zukunft öfters zum Einsatz kommt. (Andreas Proschofsky, 3.12.2019)