Versteckte Android-Malware
Mandrake: Android-Schädling stiehlt Daten seit 2016
Die Malware Mandrake kann Android-Smartphones komplett übernehmen und Daten auslesen, ohne dass der Nutzer etwas bemerkt. Seit Jahren ist sie in Apps im Google Play Store versteckt.
Bereits seit 2016 ist die Android-Malware Mandrake unterwegs, die Sicherheitsforscher von Bitdefender Anfang dieses Jahres erstmals identifiziert haben. Die Schadsoftware wird durch reguläre Apps im Google Play Store eingeschleust. Sie spioniert die Nutzer aus und kann die komplette Kontrolle über...
Bereits seit 2016 ist die Android-Malware Mandrake unterwegs, die Sicherheitsforscher von Bitdefender Anfang dieses Jahres erstmals identifiziert haben. Die Schadsoftware wird durch reguläre Apps im Google Play Store eingeschleust. Sie spioniert die Nutzer aus und kann die komplette Kontrolle über das Smartphone übernehmen. Dabei gehen die Angreifer sehr geschickt und gezielt vor und vermeiden dadurch, entdeckt zu werden.
Malware-Apps werden gut gepflegt
Offenbar setzen die Entwickler der Malware nicht auf massenhafte Verbreitung. Die Schad-Apps, die die Forscher identifiziert haben, wurden oft nur mehrere Hundert oder Tausend Mal heruntergeladen, nicht millionenfach, wie es bei anderen Malware-Apps oft üblich ist. Dennoch gehen die Forscher von zehntausenden Opfern in der aktuellen Angriffswelle aus und hunderttausenden Opfern weltweit seit 2016.
Anders als es bei Malware oft üblich ist, funktionieren die identifizierten Mandrake-Apps einwandfrei und so wie sie vorgeben. Oft laufen sie ohne Werbung und auch Bugs werden nach User-Feedback wohl regelmäßig behoben. Die Apps stammen aus verschiedenen Bereichen wie Finanzen, Auto, Design oder Produktivität. Die größte Angriffswelle scheint dabei auf Australien gerichtet zu sein, es gibt aber auch eine App namens "Horoskope" von SigmaTech, die sich speziell an deutschsprachige Nutzer richtet. Für einige der Apps gibt es sogar reguläres Marketing und beispielsweise Facebook-Seiten, so dass der Anschein entsteht, es handele sich um völlig legitime Anwendungen.
Malware übernimmt komplettes Smartphone
Tatsächlich aber verschaffen sich die Apps weitreichende Rechte auf dem Smartphone. Die Mandrake-Malware kann den Bildschirminhalt so manipulieren, dass der Nutzer beispielsweise glaubt, eine Datenschutzerklärung vor sich zu haben. Während er weiterscrollt oder versucht, die Erklärung wegzuklicken, aktiviert er versteckte Schaltflächen, über die die App weitere Befugnisse erhält. Die Malware beachtet dabei spezifische Geräteinformationen wie Hersteller, Android-Version und Sprache, damit die gefälschte Anzeige möglichst echt aussieht.
Die Malware kann mit ihren Befugnissen das gesamte Smartphone kontrollieren und etwa SMS empfangen und löschen, Anrufe tätigen, Benachrichtigungen steuern und Passwörter und andere Daten auslesen und weitergeben. Die Forscher identifizierten Phishing-Angriffe der Malware auf verschiedene Finanz- und Shopping-Apps, darunter verschiedene Banking-Apps, PayPal und Amazon. Ziel der Angreifer dürfte es hauptsächlich sein, an Zahlungsdaten zu gelangen.
Bevor Mandrake allerdings aktiv wird, spioniert die Malware die Nutzer intensiv aus, um zu entscheiden, ob ein Angriff lohnenswert ist. Erst dann wird der Kern der Schadsoftware heruntergeladen. Erweist sich das Opfer nicht als interessantes Ziel, kann die Malware auch das Smartphone zurücksetzen und damit ihre eigenen Spuren verschwischen. Automatisch ausgeschlossen werden etwa Nutzer in verschiedenen Ländern in Afrika, Osteuropa, Asien und im Nahen Osten. Die Angriffe scheinen sich hauptsächlich auf Australien, Nordamerika und Westeuropa zu richten. Durch diese sehr gezielten Angriffe reduzieren die Entwickler das Risiko, erwischt zu werden.
Malware erkennen und entfernen
Für Nutzer dürfte es sehr schwer sein, Apps, die die Mandrake-Malware verbreiten, zu erkennen, da diese normal funktionieren und viele typische Merkmale von Malware-Apps nicht aufweisen. Vor der Installation von Apps, auch aus dem Google Play Store, sollte man wohl darauf achten, von wem diese App stammt und ob man dem Entwickler vertraut. Außerdem sollte man regelmäßig unter Einstellungen/Apps/App-Berechtigungen überprüfen, ob alle Apps wirklich nur die Berechtigungen haben, die sie benötigen.
Da sich die Mandrake-Apps auch Administrator-Rechte verschaffen, ist es nicht ganz einfach, sie wieder loszuwerden. Bevor man sie löschen kann, muss man ihnen nämlich dieses Recht entziehen. Wie Sie Malware-Apps entfernen können, erklären wir in unserem Ratgeber zum Thema.
Mehr Informationen zur Mandrake-Malware finden Sie im Whitepaper von Bitdefender.
