Android-Malware im Google Play Store entdeckt – nach zwei Jahren!

Juli Rutsch
Juli Rutsch

Am 07.08.2024 - 15:39

In fünf Apps, die im Play Store zum Download verfügbar waren, wurde eine neue Version einer Android-Spyware entdeckt. Zwei Jahre war diese unentdeckt geblieben!

Logo Android Hacker Aufschrift Hintergrund
Zwei Jahre lang konnte eine Malware im Play Store in verschiedenen Apps kursieren, ohne dass Virenscanner Alarm schlugen. - Depositphotos

Android wird erneut missbraucht, um Malware zu verbreiten. Eine hochentwickelte Spionage-Software namens Mandrake hat sich heimlich in fünf Apps eingeschlichen, die über den Google Play Store zum Download angeboten wurden.

Das geht aus einem Bericht der Sicherheitsforscher von Kaspersky hervor. Zwei Jahre lang wurde diese Malware weder von Virenscannern noch von Experten entdeckt.

Die Apps, die diese Malware verbreitet haben, haben mehr als 32'000 Downloads auf der ganzen Welt verzeichnet, bevor sie nun aus dem App-Store entfernt wurden. Die meisten Downloads stammen dabei aus Ländern wie Kanada, Deutschland, Italien, Mexiko, Spanien, Peru und Grossbritannien.

Wie Mandrake unerkannt blieb

Nach Angaben der Forscher von Kaspersky verfügt die neue Mandrake-Variante über ausgeklügelte Verschleierungstechniken. Mit diesen war es den Angreifern möglich, die Prüfprozesse von Google zu überlisten und die Malware im Play Store bereitzustellen.

Plaketen Schriftzug Malware
Die Malware Mandrake wurde bisher keinem Cyberangreifer oder keiner Bedrohungsgruppe zugeschrieben. - Depositphotos

Erstmals dokumentiert wurde diese Malware im Mai 2020 vom rumänischen Cybersicherheitsanbieter Bitdefender. Aber auch anschliessend noch konnte sie eine Handvoll Geräte infizieren.

Achtung: Diese Apps sind betroffen

Alle Apps, die mit der Malware Mandrake infiziert waren, wurden bereits im Jahr 2022 veröffentlicht und waren auf Google Play mindestens ein Jahr lang verfügbar. Eine davon bis März 2024:

AirFS: von it9042, 30'305 Downloads.

Astro Explorer: von shevabad, 718 Downloads.

Amber: von kodaslda, 19 Downloads.

Cryptopulsing: von shevabad, 790 Downloads.

Brain Matrix: von kodaslda, 259 Downloads.

Diese Anwendungen funktionieren in drei Stufen: Ein Dropper startet einen Loader. Dieser wiederum führt das Kernmodul der Malware aus, nachdem er es von einem Befehls- und Kontrollserver heruntergeladen und entschlüsselt hat.

Die Fähigkeiten von Mandrake

In der zweiten Phase kann die Malware Informationen über den Gerätestatus sammeln. Dazu gehören installierte Anwendungen, Batterieprozentsatz, externe IP-Adresse und die aktuelle Google-Play-Version.

Darüber hinaus kann sie das Kernmodul löschen und Berechtigungen anfordern, um im Hintergrund zu laufen oder Overlays zu zeichnen.

Laptop Hände Programmiercode verschwommen
Durch die Mandrake-Spyware können die Hacker an sensible persönliche Daten gelangen. - Depositphotos

In der dritten Phase sind zusätzliche Befehle möglich, zum Beispiel das Laden einer bestimmten URL in einer Webview oder die Initiierung einer Remote-Bildschirmfreigabe. Selbst der Bildschirm kann aufgezeichnet werden, mit dem Ziel, Nutzerdaten zu stehlen und weitere Malware abzulegen.

Wie Google auf die Bedrohung reagiert

Google hat längst Massnahmen ergriffen, um seine Nutzer vor solcher Schadsoftware von Hackern zu schützen. So werden beispielsweise die Abwehrmechanismen von Google Play Protect kontinuierlich verbessert.

Ausserdem werden Techniken zur Live-Bedrohungserkennung entwickelt, um Verschleierung und Anti-Evasionstechniken zu bekämpfen.

Mehr zum Thema:

Weiterlesen