Ein echtes Massenphänomen ist Schadsoftware für Smartphones zwar noch immer nicht, ein Aufwärtstrend ist in den vergangenen Jahren aber unübersehbar. Ein Paradebeispiel hierfür ist der vieldiskutierte Paket-SMS-Betrug: Mit dem Hinweis auf ein angeblich wo festhängendes Paket sollen die Zielpersonen dazu gebracht werden, Schadsoftware auf ihrem eigenen Smartphone zu installieren.

Das geht aufgrund von Apples Beschränkungen beim iPhone generell nur bei Android-Geräten, und auch dort müssen die Nutzerinnen schon zahlreiche Sicherheitssperren aushebeln, um sich quasi selbst Schaden zufügen zu können. Trotzdem zeigt der "Erfolg" von Trojanern wie Flubot, dass vor allem technisch weniger versierte Personen entsprechenden Anleitungen wirklich Punkt für Punkt folgen.

Kehrtwende

Mit dem kommenden Android 13 will Google diesem Treiben nun einen Riegel vorschieben. Wie Mishaal Rahman von Esper herausgefunden hat, bringt die kommende Softwaregeneration neue Beschränkungen mit sich, mit denen Trojaner wie Flubot, Xenomorph, Teabot und Co zumindest nicht mehr so wie bisher funktionieren werden.

Was ist das Problem?

Konkret geht es dabei um die Funktionen zur Barrierefreiheit. Diese sind eigentlich dazu gedacht, Personen mit spezifischen körperlichen Einschränkungen zur Seite zu stehen – also etwa die Inhalte am Bildschirm vorzulesen. Damit das geht, brauchen entsprechende Hilfsprogramme aber einen fast uneingeschränkten Zugriff auf das Smartphone-Geschehen, immerhin müssen sie beispielsweise Dialoge vorlesen und gesprochene Eingaben dann dort einfügen könnten.

Genau das nutzt solche Schadsoftware aus, indem sie User dazu bringt, ihnen selbst Zugriff auf die Barrierefreiheitsfunktionen zu geben. Einmal gewährt, können die Trojaner selbst das Geschehen am Smartphone bestimmen, etwa zentrale Schutzfunktionen deaktivieren oder auch sämtliche Texteingaben – inklusive Passwörter und Sicherheitscodes – mitlesen.

Play Store ist kein Problem mehr

Google hat auf dieses Treiben in den vergangenen Jahren bereits mit einigen Maßnahmen reagiert. So müssen sich alle Apps, die die Barrierefreiheitsfunktionen nutzen wollen, einer zusätzlichen Prüfung unterziehen. Dabei müssen sie auch erklären, wofür sie diese Möglichkeit benötigen, generell ist nur mehr der Einsatz für den ursprünglichen Zweck – also die Barrierefreiheit – erlaubt.

Das Problem dabei: Solche Regeln kann Google natürlich nur für den eigenen Play Store aufstellen. Beim Paket-SMS-Betrug werden die Nutzerinnen aber einfach dazu gebracht, Apps aus Drittquellen zu installieren, wo es natürlich keine manuelle Vorabprüfung durch Google gibt.

Blockade

Mit Android 13 dürfte aber zumindest dieser Weg versperrt bleiben. Wie Google gegenüber Esper bestätigt hat, können nämlich aus Drittquellen installierte Apps künftig die Barrierefreiheitsfunktionen gar nicht mehr verwenden.

Damit dürfte den Trojanern das Leben erheblich schwerer gemacht werden, heißt das doch, dass sie die Nutzerinnen manuell durch die Deaktivierung sämtlicher Sicherheitseinstellungen leiten müssten, was ein äußerst umfangreicher Akt ist – und somit die Chance, dass jemand auf den Betrug hereinfällt, deutlich reduziert. Zudem müssten sie sich neue Wege suchen, um sensible Daten aus Dritt-Apps auszulesen.

Ausnahme: App Stores

Eine Ausnahme gibt es bei den neuen Google-Regeln allerdings. Alternative App-Stores wie F-Droid oder auch Samsungs Galaxy App Store können weiterhin Programme mit dieser Berechtigung verbreiten. Damit will man wohl dem Vorwurf zuvorkommen, dass sich Google indirekt einen Vorteil gegenüber der Konkurrenz erarbeitet – was auch kartellrechtlich problematisch wäre.

Die neuen Beschränkungen sind natürlich nicht das generelle Ende von Schadsoftware auf Smartphones. Trotzdem wird damit ein Weg versperrt, der bisher von praktischen allen Android-Trojanern verwendet wird. Die Angreiferinnen müssen sich nun also nach neuen Wegen umsehen, und damit potenziell nach welchen, die schlechter funktionieren und mühsamer sind – wodurch auch die Chance sinkt, dass jemand darauf hineinfällt.

Aber ...

So ganz eilig müssen es Malware-Programmierer dabei allerdings nicht haben. Immerhin wird es einige Zeit dauern, bis Android 13 auf einer relevanten Anzahl von Smartphones zu finden ist. Derzeit ist es noch in Entwicklung, eine stabile Version dürfte im August oder September folgen. Geräte mit älteren Versionen wird es aber wohl noch über Jahre hinaus geben. Insofern ist das Ganze auch ein weiterer Reminder dafür, wie sicherheitsrelevant es ist, ein Smartphone mit einer aktuellen Softwareversion zu haben – und einen langfristigen Support auch bei der Kaufentscheidung bereits mitzubedenken. (Andreas Proschofsky, 4.5.2022)