Eine neue Malware für Android-Smartphones hat das Sicherheitsunternehmen G Data jetzt entdeckt. Die Spionage-App kann die Whatsapp-Historie der Nutzer ebenso auslesen wie die gespeicherten Kontakte und kann die Kontrolle über die Smartphone-Kamera übernehmen.
Nach Ansicht des G Data-Sicherheitsforschers Lukas Stefanko befindet sich die Malware derzeit entweder noch in der Entwicklungsphase oder ist schlecht programmiert. Nachdem die entsprechenden Dienste gestartet werden, erhalten Nutzer eine Benachrichtigung mit dem Inhalt „Service Started“. Das ist unüblich, da Cyberkriminelle in der Regel so versteckt wie möglich agieren, um ihre Spuren zu verwischen. Immer wieder gelangt jedoch noch in der Entwicklung befindliche Schadsoftware versehentlich in den Umlauf. Das passiert beispielsweise bei dem Versuch der Programmierer zu überprüfen, ob ihre Malware von Virenscannern erkannt wird. Trotzdem hat die Malware einige besondere Funktionen.
Bereits in dieser Phase zeigen sich jedoch die Besonderheiten dieser Spionage-App: Sie nimmt die Verbindung mit dem Command-and-Control-Server nicht über eine normale http-Verbindung auf, sondern nutzt stattdessen die sogenannten Websockets. Anders als klassische http-Verbindungen können Verbindungen über Websockets problemlos über eine längere Zeit aufrechterhalten werden. Für die Autoren der Malware sinkt damit der Aufwand bei der Kommunikation mit dem Smartphone des Opfers.
Außerdem entfällt die Übermittelung so genannter Header-Dateien. Dadurch wird bei jeder Verbindung mit dem Server weniger Datenvolumen verbraucht. Das hilft der Malware bei der Tarnung, weil das Opfer keinen verdächtig hohen Datenverbrauch bemerken kann.
Spionage-App sucht Kontakte
Abhängig davon, welche Informationen auf dem Smartphone vorhanden sind, kann die Malware unterschiedliche Module laden. So ist es für den Angreifer zum Beispiel möglich, die gesamte Whatsapp-Datenbank auszuspähen. Außerdem kann der Server der Kriminellen Inhalte der Browserhistorie anfordern. Derzeit werden dabei aber nur die gespeicherten Lesezeichen der Nutzer übertragen und nicht die komplette Historie. Das deute ebenfalls daraufhin, dass sich die Malware noch in der Entwicklung befinde, heißt es. Bereits jetzt können aber die Kontakte des Smartphone-Nutzers an den Server der Angreifer übertragen werden.