ESET Forscher haben gefälschte Patch-Apps für Android-Smartphones im Google Play Store gesichtet. Die Entwickler der Fake-Apps wollen sich die mangelhafte Update-Politik von Qualcomm zunutze machen.
Im Google Play Store sind nach der Entdeckung der QuadRooter-Sicherheitslücke mindestens zwei Apps aufgetaucht, die als Patch fungieren sollen. Sie heißen “Fix Patch QuadRooter” und werden von Kiwiapps Ltd. bereitgestellt. Auf ESETs Meldung hin wurden die gefälschten Anwendungen vom Play Store entfernt.
Die Applikationen haben ihre Opfer mit nervender Werbung überhäuft. Und als ob das schon nicht genug sei, gab es auch noch eine Bezahl-Version, die 0,99 EUR kostete.
In Verbindung zur QuadRooter-Problematik stellten wir Lukáš Štefanko – spezialisiert auf Android Malware – einige Fragen zum Thema.
Welchen Stellenwert haben die beiden gefundenen Fake-Patch-Apps?
Das Gute ist, dass beide nicht sehr viel Schaden anrichteten. Beide Anwendungen wurden in nur begrenztem Maße heruntergeladen und denjenigen, die die Apps installierten, passierte nichts Schlimmes. Der Schaden bestand lediglich darin, dass Werbung gezeigt wurde. Die User der Bezahl-Version hatten ein bisschen mehr Pech. Ihnen wurde knapp ein Euro abgenommen.
Zum ersten Mal sahen wir eine solche Herangehensweise bei mobilen Android-Endgeräten. In der Vergangenheit waren uns solche Techniken nur aus der Welt von Windows bekannt. In jenen Fällen versuchten Hacker Online-Händler dazu zu bringen, gefälschte Sicherheits-Patches zu installieren, um kritische Bedrohungen ihrer E-Commerce Plattform Magento zu beseitigen. Dieser sogenannte “ShopLift bug” erlaubte es den Hackern, einfachen Zugang zu „verwundeten“ E-Stores zu erlangen.
In einer der Attacken wurde zum Beispiel ein Fake-Patch herausgebracht, welcher den Usern versprach eine Lücke zu schließen, die aber erst durch das Installieren des gefälschten Patches auftreten sollte.
Nun, einen Patch zu imitieren, kann ja dann ein hervorragender Schleier sein…
Ja, und das ist das interessante daran – es spricht ein ganz neues Publikum an: Jene, die sich ernsthafte Gedanken um die Sicherheit ihrer Geräte machen.
Im Android-Ökosystem verstecken sich schädliche Apps gerne hinter Decknamen, die auf Spiele, Tutorials oder Cheats hinweisen sollen. Es ist nicht sehr unwahrscheinlich, dass Sicherheit nicht an erster Stelle von Opfern von Fake-Games steht.
Kann man davon ausgehen, dass im Google Play Store nun vermehrt Fake-Patch-Apps auftauchen werden?
Hoffentlich nicht. Dennoch sollten wir jetzt über die Sicherheitsrisiken aufklären.
Was mich zum Beispiel beschäftigt, ist der Fakt, dass Fake-Patches eine Art unbekümmertes Vertrauen zukommen. Sie erwecken die Aufmerksamkeit der User und haben einen offenbar gültigen Grund, verschiedenen Genehmigungen auf dem Smartphone zu erlangen.
Fakt ist auch, dass wenn diese Fake-Patch-Apps vorgeben ein System zu reparieren, niemand Anfragen nach Zugriffsrechten monieren wird. Das Problem ist aber, dass Apps aus dem Google Play Store gar nicht in der Lage sind als Patch zu dienen.
Sollte irgendeine Anwendung versprechen, eine Sicherheitslücke eines Systems schließen zu können, ist sie schlichtweg Scam. Das ist die Botschaft, die nun in die Android-Welt herausgetragen werden sollte.
Hoffentlich funktioniert es! Aber wie können die User denn die QuadRooter-Problematik lösen?
Man sollte wissen, dass die QuadRooter-Lücke nur dann zur Gefahr werden kann, wenn die Installation von Anwendungen aus unbekannten Quellen zugelassen wurde. Neuere Geräte sind bereits gut geschützt. Seit Android Version 4.2 Jelly Bean durchlaufen alle von Google Play Store heruntergeladenen Apps das auf dem Smartphone aktivierte "Verify Apps"-Feature von Google.
Sollte eine App mit dem QuadRooter-Exploit versucht werden zu installieren, blockt das Android-System diesen Vorgang mit der Meldung: „Die Installation wurde angehalten“. Es gibt keine Option diese Meldung zu ignorieren. Bei älteren Geräten muss die Option erst unter den Einstellungen aktiviert werden.
Das hört sich gut an. Dennoch stellt es doch so etwas wie die letzte Verteidigungsmöglichkeit dar, oder?
Das stimmt, aber Patching ist ein komplexes Thema in der Android-Umgebung.
Android-Entwickler haben bereits einen echten Sicherheits-Patch auf den Weg gebracht, der drei von vier Bedrohungen ausschaltet. An der letzten wird noch gearbeitet. Nun liegt es an den Smartphone-Herstellern. Vorerst muss man sich jedoch „auf den letzten Mann“ verlassen – Verify Apps.
… und nicht Opfer einer angesprochenen Kompromittierung werden.
Ja. Oft wird man mit Neuigkeiten über steigende Zahlen von bedrohten Usern konfrontiert. Aber die wirkliche Bedeutung einer Bedrohung hat oft nichts mit diesen Zahlen zu tun. Wer mit den grundlegenden Regeln von sicherem Verhalten vertraut ist, kann unbesorgt sein.
Das heißt, im Laufe der Zeit sollte man beobachten und neue Lektionen daraus lernen. Die eigentliche hier ist:
Wenn eine App verspricht ein Problem im System zu lösen, dann ist sie schlichtweg betrügerisch.