Versteckte Android-Malware

Mandrake: Android-Schädling stiehlt Daten seit 2016

Die Malware Mandrake kann Android-Smartphones komplett übernehmen und Daten auslesen, ohne dass der Nutzer etwas bemerkt. Seit Jahren ist sie in Apps im Google Play Store versteckt.

© Suttipun / stock.adobe.com

Forscher haben eine sehr mächtige Malware auf Android-Smartphones entdeckt.

Bereits seit 2016 ist die Android-Malware Mandrake unterwegs, die Sicherheitsforscher von Bitdefender Anfang dieses Jahres erstmals identifiziert haben. Die Schadsoftware wird durch reguläre Apps im Google Play Store eingeschleust. Sie spioniert die Nutzer aus und kann die komplette Kontrolle über das Smartphone übernehmen. Dabei gehen die Angreifer sehr geschickt und gezielt vor und vermeiden dadurch, entdeckt zu werden.

Malware-Apps werden gut gepflegt

Offenbar setzen die Entwickler der Malware nicht auf massenhafte Verbreitung. Die Schad-Apps, die die Forscher identifiziert haben, wurden oft nur mehrere Hundert oder Tausend Mal heruntergeladen, nicht millionenfach, wie es bei anderen Malware-Apps oft üblich ist. Dennoch gehen die Forscher von zehntausenden Opfern in der aktuellen Angriffswelle aus und hunderttausenden Opfern weltweit seit 2016.

Anders als es bei Malware oft üblich ist, funktionieren die identifizierten Mandrake-Apps einwandfrei und so wie sie vorgeben. Oft laufen sie ohne Werbung und auch Bugs werden nach User-Feedback wohl regelmäßig behoben. Die Apps stammen aus verschiedenen Bereichen wie Finanzen, Auto, Design oder Produktivität. Die größte Angriffswelle scheint dabei auf Australien gerichtet zu sein, es gibt aber auch eine App namens "Horoskope" von SigmaTech, die sich speziell an deutschsprachige Nutzer richtet. Für einige der Apps gibt es sogar reguläres Marketing und beispielsweise Facebook-Seiten, so dass der Anschein entsteht, es handele sich um völlig legitime Anwendungen.

Malware übernimmt komplettes Smartphone

Tatsächlich aber verschaffen sich die Apps weitreichende Rechte auf dem Smartphone. Die Mandrake-Malware kann den Bildschirminhalt so manipulieren, dass der Nutzer beispielsweise glaubt, eine Datenschutzerklärung vor sich zu haben. Während er weiterscrollt oder versucht, die Erklärung wegzuklicken, aktiviert er versteckte Schaltflächen, über die die App weitere Befugnisse erhält. Die Malware beachtet dabei spezifische Geräteinformationen wie Hersteller, Android-Version und Sprache, damit die gefälschte Anzeige möglichst echt aussieht.

Die Malware kann mit ihren Befugnissen das gesamte Smartphone kontrollieren und etwa SMS empfangen und löschen, Anrufe tätigen, Benachrichtigungen steuern und Passwörter und andere Daten auslesen und weitergeben. Die Forscher identifizierten Phishing-Angriffe der Malware auf verschiedene Finanz- und Shopping-Apps, darunter verschiedene Banking-Apps, PayPal und Amazon. Ziel der Angreifer dürfte es hauptsächlich sein, an Zahlungsdaten zu gelangen.

Bevor Mandrake allerdings aktiv wird, spioniert die Malware die Nutzer intensiv aus, um zu entscheiden, ob ein Angriff lohnenswert ist. Erst dann wird der Kern der Schadsoftware heruntergeladen. Erweist sich das Opfer nicht als interessantes Ziel, kann die Malware auch das Smartphone zurücksetzen und damit ihre eigenen Spuren verschwischen. Automatisch ausgeschlossen werden etwa Nutzer in verschiedenen Ländern in Afrika, Osteuropa, Asien und im Nahen Osten. Die Angriffe scheinen sich hauptsächlich auf Australien, Nordamerika und Westeuropa zu richten. Durch diese sehr gezielten Angriffe reduzieren die Entwickler das Risiko, erwischt zu werden.

Malware erkennen und entfernen

Für Nutzer dürfte es sehr schwer sein, Apps, die die Mandrake-Malware verbreiten, zu erkennen, da diese normal funktionieren und viele typische Merkmale von Malware-Apps nicht aufweisen. Vor der Installation von Apps, auch aus dem Google Play Store, sollte man wohl darauf achten, von wem diese App stammt und ob man dem Entwickler vertraut. Außerdem sollte man regelmäßig unter Einstellungen/Apps/App-Berechtigungen überprüfen, ob alle Apps wirklich nur die Berechtigungen haben, die sie benötigen.

Da sich die Mandrake-Apps auch Administrator-Rechte verschaffen, ist es nicht ganz einfach, sie wieder loszuwerden. Bevor man sie löschen kann, muss man ihnen nämlich dieses Recht entziehen. Wie Sie Malware-Apps entfernen können, erklären wir in unserem Ratgeber zum Thema.

Mehr Informationen zur Mandrake-Malware finden Sie im Whitepaper von Bitdefender.

Mehr lesen

Sicherheits-Tipps

Auch Smartphones können Ziele von Hackerangriffen und Malware werden. Dabei kann man schon mit einfachen Maßnahmen die mobile Sicherheit erhöhen.

Mehr zum Thema

Apps aus Play Store entfernt

Erneut hat Google viele Apps mit Schadcode aus dem Play Store entfernt. Darunter sind auch Spiele-Apps, die sich an Kinder richten.
Support wird reduziert

Schluss mit monatlichen Sicherheitsupdates: Samsung passt beim Galaxy S8 und S8+ drei Jahre nach Release die Update-Versorgung an. Wie es weitergeht.
Unerkannte Angriffe möglich

Eine Sicherheitslücke im Bluetooth-Protokoll betrifft fast alle Geräte wie Smartphones, Tablets, Notebooks und Zubehör. Das steckt dahinter.
Android-Malware

Über eine Sicherheitslücke in Android kann sich Malware als legitime App ausgeben und Daten abgreifen, ohne dass der Nutzer etwas merkt.
Trojaner stiehlt Daten und Passwörter

Ein neuer Trojaner hat es auf Kreditkartendaten und Passwörter abgesehen. Die Android-Malware tarnt sich als Google Update und imitiert beliebte Apps.