Bei all den Diskussionen über die Sicherheit von Android und die mangelhafte Versorgung mit Updates gilt es immer eines zu bedenken: Eine wirklich massenhafte Verbreitung hat bisher noch keine Schadsoftware für Googles Betriebssystem erreicht. Dass heißt aber umgekehrt auch nicht, dass es in diesem Bereich gar kein Problem gibt, wie nun ein neuer Bericht des Sicherheitsdienstleisters Check Point aufzeigt.

Infektionen

Eine "Agent Smith" getarnte Schadsoftware hat es weltweit auf 25 Millionen Android-Smartphones geschafft. Der Großteil der Infektionen ist zwar in Indien – und dort über alternative App Stores – erfolgt, einige infizierte Apps haben es aber auch in den offiziellen Play Store geschafft. Mittlerweile wurden die elf betroffenen Programme allesamt von Google entfernt.

Wie es bei mobiler Malware oft der Fall ist, geht es "Agent Smith" allerdings nicht darum, Schaden anzurichten, sondern sich zu bereichen. Nach der Installation der infizierten App versucht diese einen weitere App einzurichten, die den eigentlichen Schadcode beinhaltet. Diese wurde offenbar als "Google Updater" getarnt, zudem wurde verhindert, dass ein App Icon im Launcher zu sehen ist. Einmal aktiviert sucht sie gezielt nach Apps mit bekannten Schwächen, denen sie weiteren Code unterjubelt, damit diese zusätzliche Werbung anzeigt. Und daran verdienen dann die Autoren.

Viele Voraussetzungen

Damit all dies möglich ist, muss sich "Agent Smith" natürlich Sicherheitslücken im System bedienen. Und hier zeigt sich dann das Problem mit den mangelnden Updates sehr wohl: Denn dieser Angriff nutzt eine Schwäche im Signatur-Check von Android-Paketen, die bereits mit Android 7 geschlossen wurde – also vor fast drei Jahren. Die Verbreitung ist also zum größten Teil auf veraltete Geräte zurückzuführen. Ein weiteres Problem ist allerdings, dass nicht alle App-Hersteller ihre Apps auf die neue Signaturversion umgestellt haben. Das erklärt, warum laut Check Point noch immer 9,3 Prozent aller infizierten Geräte mit Android 8 laufen. Devices mit Android 9 finden sich in der Liste hingegen nicht.

Eine relevante Verbreitung von "Agent Smith" scheint es im deutschsprachigen Raum derzeit nicht zu geben. In den USA und Großbritannien wurden hingegen jeweils Infektionen im sechstelligen Bereich gemeldet. Die Forscher gehen allerdings davon aus, dass die Betreiber angesichts ihres bisherigen "Erfolgs" bald mit neuen Versionen nachlegen werden. Bis dahin hält sich die tatsächliche Gefahr vor allem bei Nutzern moderner Android-Versionen in einem sehr überschaubaren Bereich. (apo, 11.7.2019)