Die Sicherheitsforscher von Lookout haben eine besonders umtriebige Malware-Kampagne aufgedeckt. In den eigenen Untersuchungen habe man mehr als 4.000 Android-Apps aufgespürt, die mit einer Spyware namens Sonic Spy ausgestattet waren, heißt es in einem Blog-Posting.

Kopien

Bei den betreffenden Apps handelt es sich um Kopien bekannter Apps, die mit der Spionagesoftware infiziert wurden. Drei von diesen Spyware-Apps haben es dabei sogar durch die Sicherheitschecks von Google geschafft und waren bis vor kurzem im offiziellen Play Store zu finden. Als Beispiel verweist Lookout auf eine App namens Soniac, die sich als Kopie des Messengers Telegram tarnte und zwischen 1.000- und 5.000-mal heruntergeladen wurde, bevor sie von Google entfernt wurde.

Einmal installiert, bietet Sonic Spy seinen Betreibern umfassende Spionagemöglichkeiten. Dazu gehört etwa das Aktivieren des Mikrofons, um Gespräche im Umfeld abzuhören. Auch Telefongespräche können mitgeschnitten oder initialisiert werden. Es ist den Angreifern möglich, SMS zu verschicken, Logs einzusehen und Kontakte auszulesen. Um all dies zu ermöglichen, tarnt sich die App nach der Installation und scheint im Launcher nicht mehr auf, zudem wird Kontakt mit einem Command-and-Control-Server aufgenommen, über den die Spionage abgewickelt wird.

Hintergrund

Laut Lookout weist Sonic Spy gewisse Ähnlichkeiten zu einer anderen Spyware namens Spy Note auf, die im Vorjahr von Palo Alto Networks offengelegt wurde. Hinter beiden soll ein Betreiber stecken, der sich selbst als "iraqwebservice" ausgibt, auch andere Spuren weisen darauf hin, dass die Urheberschaft im Irak anzusiedeln ist.

Unklar bleibt bei all dem, wie stark die Spyware tatsächlich verbreitet war – oder noch ist. Während jene Apps, die es in den Play Store geschafft haben, nur vergleichsweise wenig heruntergeladen wurden, lässt sich über die Verbreitung jenseits von Googles Kontrolle relativ wenig sagen.

Ausblick

Bei Lookout warnt man trotzdem davor, die Angelegenheit auf die allzu leichte Schulter zu nehmen. Angesichts der hohen Anzahl unterschiedlicher Spyware-Apps ist davon auszugehen, dass der Entwickler diese automatisiert erstellen kann – und das wohl Sonic Spy früher oder später in einer neuen Version wieder auftauchen wird. (apo, 14.8.2017)