2in1-Malware für Android stiehlt und verschlüsselt in Einem

Bei den meisten Malware-Varianten entscheiden sich die dahinter steckenden Kriminellen für einen bestimmten Weg, auf dem sie von ihrer Software finanziell profitieren wollen. Nicht so die Urheber des neuen Android-Trojaners Xbot - hier gehen ... mehr... Google, Android, Malware, Schadsoftware Bildquelle: Google Google, Android, Malware, Schadsoftware Google, Android, Malware, Schadsoftware Google

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wieso kann eine App auf den Benutzerspeicher zugreifen ohne vorher WÄHREND der Ausführung zu fragen?
Und warum kann die App das Passwort ändern sowie den Lockscreen und das ohne zu fragen?
 
@Alexmitter: Keine Ahnung. Ich kann ja nicht mal selber auf der SD-Karte Dateien speichern... Und das trotz root...
 
@FileMakerDE: Och Google
 
@Alexmitter: Ich trau mich ja fast wetten, dass hier wieder Apps per Sideload auf die Geräte geladen wurden.
 
@FileMakerDE: Da reicht auch der PlayStore, Aber ich habe es schon erlebt das im Fernsehn, genauer Taff auf Pro7 erlebt das man sagte es währe sicherer wenn man den Haken bei Unbekannte Quellen Setzt.

Der Punkt bei der ganzen Sache ist, das System MUSS Sicher sein, ob die App nun aus dem Store kommt oder per APK. Dafür hat man diese Modernen System Architekturen, alles in einer Sandbox, alles mit Strängen Berechtigungen, alles in seinem eigenen Speicher den sie nicht verlassen sollte, kein Systemzugriff ohne nachfragen.
 
@Alexmitter: Software von unbekannten Quellen zu installieren ist schon seit jeher ein No-Go. Egal auf welchem System. Selbst wenn es sich nicht um echt böswillige Software handelt, weiß man doch nie ob man sich nicht einen Staatstrojaner, Ransomware, Keylogger usw. eintritt. Ich bekomm schon immer die Grätze wenn es hier auf WF heißt dass eine neue Version von Whatsapp zum Download zur Verfügung steht.
 
@FileMakerDE: "Egal auf welchem System"
Ok, ich kenne eines, Also mein WP. Warum? Ganz einfach, das was Android eigendlich können sollte, was ich beschrieben habe KANN WP.

"Staatstrojaner" Auf WP nicht möglich, einfach Systembedingt.

"Ransomware" Auch Nope

"Keylogger" Auch das ist unter WP nicht möglich.
Alles was WP betrifft zählt natürlich auch für W10M

Was letzeres betrifft, meinst du die Werbung?
 
@Alexmitter: na ja, das gleiche Misstrauen was man Google zum Thema Datensicherheit schenken sollte, gilt bei MS und Apple genau so. Jeder OS Hersteller hält sich hier sehr stark bedeckt. Ob ein Staatstrojaner oder Keylogger nicht auch unter W10M möglich ist ... wer weiß das schon? Das Interesse dafür dürfte bei der Nutzeranzahl aber sehr gering sein ...

Bei deinen aufgezählten Vorteilen hört es für mich dann aber auch schon wieder auf, was WP/W10M angeht - denn die fehlende Apps im Store, Akzeptanz bei den Nutzern und mangelhafter Rollout von W10M blockieren die eigentliche Kompetenz von W10M.
 
@Alexmitter: Für Ransomware brauchst du nur eine 0815-App, die Zugriff auf irgendwelche Daten hat (SD-Karte/internet Speicher). Das Funktioniert auch wunderbar unter WP/W10M.

Und ein Keylogger funktioniert unter Android auch nur mit root-Rechten...

"Dein" WP ist nicht das einzige "moderne System"...
 
@Rumpelzahn: Es geht nicht durch ein Externes App Paket.
Windows Phone/Mobile kennt kein Root. Es kennt eine Stufe mit der man die Regestry Bearbeiten kann, aber auch nur das was man sowieso kann, ist für die Hersteller falls sie eine Konfigurationsanwendung mehr möchten.

Aber dabei geht es um Staatliche Kontrolle, und die kommen sowieso in jedes System, ob Online oder Offline, Verschlüsselt oder nicht.

"Das Interesse dafür dürfte bei der Nutzeranzahl aber sehr gering sein ... "
Wenn man die Bürger kontrollieren möchte dann will man nicht nur 70% Android und 20% iOS sondern auch die Restlichen 10%.
Aber dieser Aufwand währe, nach dem man sowieso schon Staatsgewalt und Kontrolle über die Netzwerkknoten hat einfach nur noch unnötig.

Aber hier geht es um Angriffe von Bad Boys, und diese kommen anhand der Architektur nicht Rein, weil das System dafür keine Möglichkeit hat.
 
@Overflow: Nur musst du erst Aktiv dieser App inerhalb der App Zugriff auf einzelne Ordner geben, auf das Kernverzeichnis hat sie sowieso keinen Zugriff.

"Und ein Keylogger funktioniert unter Android auch nur mit root-Rechten..."
Eine Möglichkeit ist aber da, unter W10M/WP gibt es diese nicht.

""Dein" WP ist nicht das einzige "moderne System"..."
Über iOS sag ich nichts, die setzen Nativen Code ein. Android dagegen, mit Managed Code, sollte so ausgereift sein in Version 6 das diese dinge nicht möglich sind.
 
@Alexmitter: "Nur musst du erst Aktiv dieser App inerhalb der App Zugriff auf einzelne Ordner geben, auf das Kernverzeichnis hat sie sowieso keinen Zugriff."
Musst du unter Android auch, Standardmäßig hat eine Android-App nur Zugriff auf ihren Sandbox-Speicher.

"Eine Möglichkeit ist aber da, unter W10M/WP gibt es diese nicht."
Klar, ein "privilege escalation" Exploit und schon läuft der Keylogger auf WP/W10M.
 
@Overflow: "Musst du unter Android auch, Standardmäßig hat eine Android-App nur Zugriff auf ihren Sandbox-Speicher."
Aber schon per einem Berechtigungsflag den im Store sowieso jeder Ignoriert, das bringt nix.

"Klar, ein "privilege escalation" Exploit und schon läuft der Keylogger auf WP/W10M."
Und welche Rechte willst du? Das höchste was man damit erreicht währe Interop, und dabei hat man nicht viel mehr rechte als ein Nutzer, das verwendet MS und jeder Hersteller und ist nicht sooo schwer zu bekommen. Danach kommt schon der System Benutzer der aber schon sehr stark gesichert ist. Das hat noch keiner geschafft, und es währe nicht so als ob das noch keiner mit viel Knowhow probiert hätte. Hust XDA-Deceloper hust
 
@Alexmitter: "Aber schon per einem Berechtigungsflag den im Store sowieso jeder Ignoriert, das bringt nix."
Bis Android 6 wird der Benutzer bei der Installation gefragt, ab Android 6 erst dann, wenn die App tatsächlich auf Daten zugreifen will.
Aber klar bringt alles nichts, weil nur in WP/W10M natürlich die Meldung "Ransomware App möchte alle ihre persönlichen Daten verschlüsseln, um dann von ihnen ein Lösegeld zu erpressen. Zulassen? Ja/Nein" erscheint...

"Hust XDA-Deceloper hust"
Klar, XDA ist ja auch die erste Anlaufstelle, um Exploits einzukaufen...
 
@Overflow: "ab Android 6 erst dann, wenn die App tatsächlich auf Daten zugreifen will."
Das ist ja mal was neues, Respekt Google.

"Ransomware App möchte alle ihre persönlichen Daten verschlüsseln, um dann von ihnen ein Lösegeld zu erpressen"
Du musst in der App einen "Ordner Hinzufügen" Dialog öffnen, eigendlich verwenden alle Apps sowiso einen Filepicker des Systems. Und wenn man auf diesen Dialog klickt soll man den gewünschten Ordner auswählen.
Also es ist kein einfacher Ja/Nein Dialog, man muss Aktiv werden.

"Klar, XDA ist ja auch die erste Anlaufstelle, um Exploits einzukaufen..."
Die Kollegen sind aber die Anlaufstelle für die die Exploits einkaufen.
Und die arbeiten schon sehr lange daran irgendwas zu finden mit dem man das System angreifen könnte, aber nix.
 
@Alexmitter: "Also es ist kein einfacher Ja/Nein Dialog, man muss Aktiv werden."
Im App-Manifest einfach "removableStorage" eintragen, und schon braucht man keinen Filepicker o.ä mehr.

"Die Kollegen sind aber die Anlaufstelle für die die Exploits einkaufen."
Nicht wirklich...

"Und die arbeiten schon sehr lange daran irgendwas zu finden mit dem man das System angreifen könnte, aber nix."
W10M gibt es doch erst einige Monate, und wenn ein Exploit für das Desktop-System verfügbar ist, dürfte der, mit einer gewissen Wahrscheinlichkeit, auch auf der Mobile Variante funktionieren...
 
@Overflow: "W10M gibt es doch erst einige Monate, und wenn ein Exploit für das Desktop-System verfügbar ist, dürfte der, mit einer gewissen Wahrscheinlichkeit, auch auf der Mobile Variante funktionieren..."
W10M ist ein direkter Code Nachfolger von WP. Was den Code betrifft hat sich Windows 10 mehr an W10M angeglichen.

"Im App-Manifest einfach "removableStorage" eintragen, und schon braucht man keinen Filepicker o.ä mehr." SD Karte? Der Unterschied ist hier, ok man könnte alle Daten auf einer SD Karte Verschlüsseln, aber immer noch nicht das System Blockieren. Man würde einfach die Anwendung löschen und seine Medien neu auf die SD karte kopieren.
Aber selbst wenn, würde es so eine App wohl nur mit sehr viel glück an der Verifizierung vorbei schaffen da MS sehr empfindlich mit den Berechtigungen ist und vor allem so etwas stark hinterfragt.
Kein wirklich Lukratives Angriffsszenario.
 
@Alexmitter: "Was den Code betrifft hat sich Windows 10 mehr an W10M angeglichen."
Ist doch egal, wer sich wem angeglichen hat, eine Sicherheitslücke in Windows 10 hat jetzt auch gute Chancen, unter W10M nutzbar zu sein.

"Der Unterschied ist hier, ok man könnte alle Daten auf einer SD Karte Verschlüsseln, aber immer noch nicht das System Blockieren. "
Kannst du unter Android auch nicht (zumindest nicht ohne root).

"Aber selbst wenn, würde es so eine App wohl nur mit sehr viel glück an der Verifizierung vorbei schaffen da MS sehr empfindlich mit den Berechtigungen ist und vor allem so etwas stark hinterfragt."
Klar, eine App, die Zugriff auf die SD-Karte haben möchte, ist natürlich seeeeeehr verdächtig, und fällt sofort auf...

"Man würde einfach die Anwendung löschen und seine Medien neu auf die SD karte kopieren."
Falls man diese Daten denn einfach so neu kopieren kann...

Aber von deiner ursprünglichen Aussage, das das ganze unter WP/W10M nicht funktioniert, entfernen wir uns immer weiter...
 
@Overflow: "Ist doch egal, wer sich wem angeglichen hat, eine Sicherheitslücke in Windows 10 hat jetzt auch gute Chancen, unter W10M nutzbar zu sein."
Bei dem Sicherheitskonzept währe das ziemlich schwierig, nicht unmöglich aber schon sehr sehr schwierig.

"Kannst du unter Android auch nicht (zumindest nicht ohne root)."
Weist du was man unter Android kann? Man kann so dinge wie Root durch Zugriff durch die Berechtigung "Kontakte" erlangen. Es ist Naiv Android auch nur mit irgendeinem Vernümftigen Sicherheits Konzept in Verbindung zu bringen. Wir können uns das noch so lange gut reden, Google hat am Anfang viele Fehler gemacht die sie jetzt nicht ändern wollen/können, und es wird durchs schönreden nicht besser.
Und was lese ich da, App ändernd selbstständig den Lockscreen und verhindert damit Systemzugriff.

"Klar, eine App, die Zugriff auf die SD-Karte haben möchte, ist natürlich seeeeeehr verdächtig, und fällt sofort auf..."
Sie werden genauso wie Apps mit Nativen Bibliotheken behandelt und brauchen zwecks der Überprüfung dann einfach etwas länger bis sie Verifiziert sind.

"Falls man diese Daten denn einfach so neu kopieren kann..."
Es geht ja um die vom System angelegten Medialen Ordner.

"Aber von deiner ursprünglichen Aussage, das das ganze unter WP/W10M nicht funktioniert, entfernen wir uns immer weiter..."
Wir müssen auch nicht weiter Diskutieren, aber bei mir wird keine App den zugriff auf das System verhindern, was sie kann ist Minimal, auch weil sie während des Vorgangs immer im Vordergrund sein muss.
 
@Alexmitter: "Man kann so dinge wie Root durch Zugriff durch die Berechtigung "Kontakte" erlangen."
Das sind dann aber Exploits (die auch nur mit bestimmten Geräte/Versionen funktionieren). Das gleiche kann dir dann mit einem passenden Exploit auch unter W10M passieren, bzw. sogar unter iOS.

"Sie werden genauso wie Apps mit Nativen Bibliotheken behandelt und brauchen zwecks der Überprüfung dann einfach etwas länger bis sie Verifiziert sind."
Apps, die gar keine nativen Bibliotheken verwenden, werden wie welche mit nativen Bibliotheken behandelt, obwohl nicht mal das Certification Kit anschlägt? Quelle?

"Es geht ja um die vom System angelegten Medialen Ordner."
Und wenn man zufällig auch noch wichtige Dokumente auf der SD Karte hatte?

"Wir müssen auch nicht weiter Diskutieren, aber bei mir wird keine App den zugriff auf das System verhindern, was sie kann ist Minimal, auch weil sie während des Vorgangs immer im Vordergrund sein muss."
Für Ransomware reicht es halt, und darum ging es ja ursprünglich...
 
@Overflow: Und mir ging es anfangs um
"Wieso kann eine App auf den Benutzerspeicher zugreifen ohne vorher WÄHREND der Ausführung zu fragen?
Und warum kann die App das Passwort ändern sowie den Lockscreen und das ohne zu fragen?"
 
@Alexmitter: Ein Keylogger kann auch schon die eingebaute Software-Tastatur sein. Gibt es im MS-Store alternative Keyboards? Sowas wie Swiftkey? Auch Cortana spricht ständig mit MS und übermittelt Daten. Keiner weiß welche. Auch Software von Drittanbietern übermittelt Standorte, Allgemeine Systeminformationen usw. usw. usw. Auch WP ist nicht gegen die Dummheit der Nutzer gefeit. Und wenn WP an Popularität gewinnt, wird sich zeigen ob WP wirklich sicher ist. Momentan gibt es einfach nicht die Relevanz in WP großartig nach Schwachstellen zu suchen, weil es mit 3% Marktanteil einfach unrentabel wäre. Ransomware ist auch grundsätzlich möglich, bin ich mir sicher. Es hat nur noch keine gegeben. Seit Android 6 lässt das System übrigens alle Rechte die eine App haben will vom Nutzer abfragen. Android 6 entspricht also deinen Anforderungen. Das Problem ist nur das viele Devices noch mit Android 4 oder 5 laufen. Was ungefähr WP8 (2015) oder WP7 (2013) entspricht. Und darüber brauche ich mich jetzt nicht äußern...
 
@Alexmitter: Nicht der Pin wird geändert sondern es wird ein Programm vor den original Sperrbildschirm gepusht (einfacher "Autostart" Eintrag). Der PIN wird auf dem Gerät zusammen mit dem Schlüssel für die Verschlüsselung generiert und an den CnC-Server übermittelt. Dieses Sperrprogramm lässt sich nicht beenden, außer über ADB. Der eigene PIN (oder andere Sicherheitsmaßnahmen) bleiben davon unberührt. Die Schreibrechte auf die SD-Karte müssen bei Android 6 vom Benutzer bestätigt werden. Leider wurde dieses Feature erst bei Android 6 eingebaut, dessen Verbreitung aber noch zu wünschen übrig lässt. Dank der Update-Politik einiger Hersteller.
 
@FileMakerDE: "Ein Keylogger kann auch schon die eingebaute Software-Tastatur sein" Ja kann sie, sogar eine Hardware Tastatur kann das sein. Und?

"Gibt es im MS-Store alternative Keyboards?"
Nein, dafür gibt es keinen Nutzen.

"Auch Cortana spricht ständig mit MS und übermittelt Daten"
Ach Ständig? Das meiste macht Cortana Lokal, nur wenn sie z.b. eine Erinnerung setzt wird diese auch mit meinem MS konto abgeglichen damit ich sie auch auf dem PC sehe

"Keiner weiß welche"
Aha, das weis ich zwar nicht, aber bei der Menge an Daten die sich im kb bereich liegen kann man keine Totalüberwachung erwarten.

"Auch WP ist nicht gegen die Dummheit der Nutzer gefeit"
Ach was, nenn mir noch ein Beispiel

"weil es mit 3% Marktanteil einfach unrentabel"
Ach denkst du die, die Schadsoftware entwickeln zielen auch auf die Ganze Welt ab? Die sind nicht blöd und entwickeln gezielt für die Industrienationen, und da hätte man wenn es doch so einfach währe das Potential jeden 10ten zu schaden.

"Seit Android 6 lässt das System übrigens alle Rechte die eine App haben will vom Nutzer abfragen"
Tut WP schon immer, und das Konsequent.

"Ransomware ist auch grundsätzlich möglich, bin ich mir sicher"
Du kannst so etwas nicht im Hintergrund tun, du kannst das System nicht Blockieren, alles was wirklich weh tut ist nicht möglich.
 
@FileMakerDE: "sondern es wird ein Programm vor den original Sperrbildschirm gepusht"
Währe da nicht eine "Bitte Lockscreen auswählen" Dialog nötig?

Zu dem Rest sage ich mal nichts, außer das es einfach eine Katastrophe ist wie dieses angebliche "Embedded" System mit seiner Integrität umgeht.

"Dank der Update-Politik einiger Hersteller."
Nein, dank der Unfähigkeit von Andy Rubin der nicht so recht wusste was er da macht nach dem er dem Trend entsprechend während der Entwicklung von Digicams zu Handys umgestiegen ist.
Wer kommt den auch nur ansatzweise auf die Idee ein Embedded System ohne ein auf dauer Kompatibles Treiberkonzept mit vom Kernel gelösten Treibern zu entwickeln. Das währe ein Anfang.
Ich war damals dabei als Google mit HTC das erste mal Android nach Deutschland brachte, und ich habe es gefeiert. Aber wenn ich heute darüber blicke sehe ich heute nur noch einen Billigen iOS klon, drauf ausgelegt möglichst schnell den Markt zu erobern mit Fähigkeiten die man 1:1 von iOS übernahm, auch wie die GUI.
Und auch dank der Unfähigkeit von Google diesen Status zu ändern.
 
@Alexmitter: ""Wieso kann eine App auf den Benutzerspeicher zugreifen ohne vorher WÄHREND der Ausführung zu fragen?"
Kann sie nicht.

"Und warum kann die App das Passwort ändern sowie den Lockscreen und das ohne zu fragen?"
Kann sie auch nicht.

Und damit diese Malware überhaupt aufs Handy kommt, muss der Benutzer auf die Phishing-Mail reinfallen, dann erstmal "Unbekannte Quellen" aktivieren, den Info-Dialog, das man sich damit ins Knie schießen kann, bestätigen, dann das Installationspaket aus der E-Mail herunterladen, die App installieren, und dabei alle möglichen Berechtigungen, die diese Malware einfordert, ebenfalls abnicken.
 
@Overflow: "Kann sie nicht."
Ab 6, warum vorher nicht?

"Kann sie auch nicht."
Sie ändert den Lockscreen, sie verwendet sich selbst als Lockscreen, also kann sie es.

"muss der Benutzer auf die Phishing-Mail reinfallen"
Auf den PlayStore reinfallen reicht.
 
@Alexmitter: "Ab 6, warum vorher nicht?"
Weil vor 6 bei der Installation gefragt wird. Wer bei einer per Mail aufgezwungenen App, die auffordert, "Unbekannte Quellen" zu aktivieren, und alle möglichen Berechtigungen, wie SMS-Versand und Co einfordert, nicht misstrauisch wird, wird es sicherlich egal sein, ob beim ersten Start der App dann nochmal explizit Zugriff auf die SD-Karte angefordert wird...

"Sie ändert den Lockscreen, sie verwendet sich selbst als Lockscreen, also kann sie es."
Nein, nur wenn der Benutzer vorher die App als "Administrator" eingetragen hat und Meldungen wie "Diese App möchte ihre PIN ändern" hinnimmt. Solche Benutzer kannst du sicherlich auch dazu bringen, Sideloading unter W10M zu aktivieren...

"Auf den PlayStore reinfallen reicht."
Diese Malware wird nicht über den PlayStore verbreitet...
 
@Overflow: Geben wir die App mal als Datei Manager aus, dann Benötigt sie Zugriff auf das Dateisystem und vielleicht noch Netzwerk für Apps.
Mehr braucht man nicht.

"kannst du sicherlich auch dazu bringen, Sideloading unter W10M zu aktivieren..."
Das bringt den Malware Autoren aber auch nicht mehr, als sonst.

"Diese Malware wird nicht über den PlayStore verbreitet..."
Könnte, Overflow, könnte, wie wir wissen hat Google überhaupt keine Kontrolle mehr darüber was sie rein lassen und was nicht.
 
@Alexmitter: "Geben wir die App mal als Datei Manager aus, dann Benötigt sie Zugriff auf das Dateisystem und vielleicht noch Netzwerk für Apps.
Mehr braucht man nicht."
Eben, und das würde doch auch wunderbar unter WP/W10M funktionieren.

"Das bringt den Malware Autoren aber auch nicht mehr, als sonst."
Ich dachte Malware hat ansonsten keine Chance, an der MS Kontrolle vorbei zu kommen?

"Könnte, Overflow, könnte, wie wir wissen hat Google überhaupt keine Kontrolle mehr darüber was sie rein lassen und was nicht."
Auch im PlayStore werden die hochgeladenen Apps auf Malware untersucht, zwar nur automatisiert, aber immerhin.
 
@Overflow: "Auch im PlayStore werden die hochgeladenen Apps auf Malware untersucht, zwar nur automatisiert, aber immerhin."
Ok, so heftig musste ich zuletzt bei der Heute Show gestern Abend lachen.
 
@Alexmitter: "In a rather worrying turn of events for the Windows 10 Mobile store, a fake “Tweetium Beta” version passed through certification, undetected by Microsoft. To make matters worse, it was created to scam and steal users’ passwords.
Even more disturbingly, the same developer of the fake application has managed to get an additional 30 fake versions of other trademarked apps such as “Madden NFL” up on to the app store."

Zusammen mit deinen Aussagen, das es solche Apps nur mit "sehr viel Glück" in den Store schaffen, wäre das schon gutes Material für die Heute Show ;)

Aber gut, ich glaub wir sind mit dem Thema erstmal durch...
Kommentar abgeben Netiquette beachten!