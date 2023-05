"Guerrilla" speist Werbung selbst in unverdächtige Apps. Dahinter steht ein mysteriöser Datenhändler namens Lemon Group

"Guerrilla" installiert eine Werbeplattform, die unter anderem unbemerkt Whatsapp-Nachrichten verschicken kann. imago images / ZUMA Press

Android-Geräte haben einen eher durchwachsenen Ruf, was die Sicherheit angeht. Das Betriebssystem selbst und Googles Pixel-Geräte haben sich als weitgehend immun gegen Software-Exploits erwiesen. Jedoch tauchen in Google Play immer wieder bösartige Apps auf, und dann kommt da noch ein nicht enden wollender Strom an Geräten von Drittherstellern hinzu, deren Sicherheit zumindest fragwürdig erscheint.

Am Donnerstag wurden zwei Studien veröffentlicht, wonach viele Android-Geräte bereits mit vorinstallierter Malware ausgeliefert werden. Diese kann meist nur mit enormem Aufwand entfernt werden.

Fast neun Millionen Geräte betroffen

Der erste Bericht kam von der Sicherheitsfirma Trend Micro. Deren Forscherteam präsentierte auf der Sicherheitskonferenz Black Hat in Singapur eine Studie, wonach bis zu 8,9 Millionen Telefone mit einer "Guerrilla" getauften Malware infiziert waren. Die Schadsoftware wurde zuerst von Forschenden des Sicherheitsunternehmens Sophos entdeckt und in 15 bösartigen Apps nachgewiesen, die Google in seinem Play-Store zugelassen hat.

Guerrilla öffnet eine Hintertür, durch die infizierte Geräte regelmäßig mit einem Server kommunizieren, um weitere Software zu installieren. Diese Updates sammeln Daten über die Benutzer, die wiederum von einer gewissen Lemon Group an Werbetreibende verkauft werden. Guerrilla installiert dann heimlich aggressive Werbeplattformen, was sich als extrem störend erweist und darüber hinaus den Akku des Smartphones leer saugt.

Guerrilla sei laut den Forschenden eine massive Plattform mit fast einem Dutzend Plug-ins. Diese können Whatsapp-Sitzungen von Nutzern kapern, um unerwünschte Nachrichten zu versenden, einen Reverse-Proxy von einem infizierten Telefon aus einrichten und die Netzwerkressourcen des betroffenen Mobilgeräts nutzen. Guerrilla kann sogar Werbung in ganz gewöhnlichen Apps einblenden.

Die Länder mit der höchsten Konzentration an infizierten Handys waren die USA, gefolgt von Mexiko, Indonesien, Thailand und Russland. Welche Marken betroffen sind, gab Trend Micro nicht bekannt, wie "Ars Technica" berichtet.

Fragwürdige TV-Boxen

Die zweite Studie stammt von dem Sicherheitsforscher Daniel Milisic. In seiner Arbeit weist der Kanadier nach, dass mehrere Serien von Android-TV-Boxen mit Malware infiziert sind. Die betroffenen Geräte werden als T95-Modelle mit einem h616 Chipsatz verkauft. Diese Geräte kommunizieren ebenfalls mit einem Command-and-Control-Server. Damit können die Ersteller der Malware jede von ihnen gewünschte App installieren. Vorinstalliert ist jedoch die Malware "Clickbot". Diese generiert Einnahmen für die Ersteller, indem sie im Hintergrund heimlich auf Anzeigen tippt. Auch der Youtube-Kanal "Linus Tech Tips" hat jüngst von TV-Boxen mit der vorinstallierten Malware berichtet.

STOP Buying ANDROID TV Boxes!

Linus Tech Tips

Große Marken weniger betroffen

Doch wie kann man sichergehen, dass das neue Smartphone frei von unerwünschten und schädlichen Apps ist? Bei "Ars Technica" empfiehlt man, auf die Telefone von den großen Herstellern zu setzen. Bei den Geräten von Samsung, Oppo (und Oneplus) oder Asus gab es noch keine Berichte von vorinstallierter Malware. (pez, 19.5.2023)