Android als mobiles Betriebssystem für weltweit viele Millionen Geräte ist ein beliebtes Angriffsziel von Hackern. Eine aktuelle Angriffswelle die vor allem in Asien wütet, hat es dabei vor allem auf ältere Modelle abgesehen, die noch mit Android 5 laufen und damit Schwachstellen haben, für die es keinen Schutz gibt.

Seiteninhalt

Copycat – ein Name für viele manipulierte Apps

Die Art und Weise, wie die Smartphones angeboten werden, ist dabei sehr raffiniert. Es werden dabei Kopien von bekannten und beliebten Apps zum kostenfreien Download angeboten (daher auch der Name Copycat). Dabei enthalten diese Kopien nicht nur die App selbst sondern auch Schadsoftware, mit denen die Geräte übernommen werden. Die manipulierten Apps werden dabei dann auf Drittportalen zum Download angeboten. Dort wird oft nur sehr wenig kontrolliert, ob die Apps tatsächlich echt sind. Daher ist das Sicherheitsrisiko an dieser Stelle auch deutlich höher. Google selbst legt im eigenen App-Store Google Play wesentlich höhere Sicherheitsmaßstäbe an. Daher erfolgt die Copycat-Infektion auch in der Regel über Downloads von Drittanbietern.

Bin ich von Copycat betroffen?

In Deutschland ist die Infektionsrate mit nur 7 Prozent eher gering. Die meisten Nutzer neigen dazu, nur den Google Play Store zu nutzen und sind damit weitgehend sicher. Probleme kann es aber bei gerooteten Geräten geben.

Man erkennt solche Malware unter anderem daran, dass der Datenverbrauch ansteigt und in einem sehr hohen Bereich liegt. Das ist bei den meisten modernen Tarifen kein Problem. In der Regel haben die meisten Smartphone nutzen auch eine passende Handy Flat für das Internet und damit entstehen auch bei hohem Datenverbrauch keine Mehrkosten. Allerdings wird auf diese Weise das monatliche Datenvolumen schneller aufgebraucht. Wer also bereits am Monatsanfang die Meldung bekommt, dass ab sofort gedrosselt wird, sollte prüfen, ob mit dem Handy alles in Ordnung ist.

Copycat betrifft allerdings nicht nur Handys. Rein theoretisch kann der Exploit bei allen Android Systemen angewendet werden, seien es Tablets, Kameras der auch Smart TV. Apple Geräte sind an dieser Stelle allerdings von Anfang an sicher, da sich die Malware nur auf Android bezieht. Das gilt auch für Windows oder Linux Systeme.

Wie funktioniert Copycat?

Die Malware von Copycat nutzt eine Sicherheitslücke in Android, die erst mit Android 5.1 geschlossen wurde. Ältere Versionen wie Android Kitkat sind also ebenfalls betroffen. Die Angreifer nutzen an der Stelle eine Schwachstelle im Start-System für Apps um Zugriff auf das gesamte Smartphone zu bekommen.

Die Sicherheitsexperten von Checkpoint schreiben dazu:

CopyCat then injects code into the Zygote app launching process, allowing the attackers to receive revenues by getting credit for fraudulently installing apps by substituting the real referrer’s ID with their own. In addition, CopyCat abuses the Zygote process to display fraudulent ads while hiding their origin, making it difficult for users to understand what’s causing the ads to pop-up on their screens. CopyCat also installs fraudulent apps directly to the device, using a separate module. These activities generate large amounts of profits for the creators of CopyCat, given the large number of devices infected by the malware.

Wie kann man sich schützen?

Den besten Schutz vor einem erfolgreichen CopyCat Angriff bietet immer noch ein aktuelles System mit allen verfügbaren Sicherheitspatches. Rein theoretisch reicht es auch, Android 5+1 oder neuer zu nutzen, denn auch hier ist die Sicherheitslücke geschlossen, die ausgenutzt wird, allerdings existieren dann noch genug anderen Lücken.

Das Problem dabei: Gerade bei älteren Handys bieten die Hersteller keine aktuellen Updates mehr an. Man kann dann also gar nicht auf eine aktuelle Version aufrüsten, weil eine solche nicht zur Verfügung steht.

Daher ist der beste Schutz bei älteren Geräten, Apps nur dann zu installieren, wenn man den Anbieter kennt und eine sichere Quelle hat. Das ist im besten Fall der originale Google Play Store, denn hier bekommt man die Apps in der Regel mit einer gewissen Sicherheitsprüfung. Es sind auch schon Fällen bekannt geworden, bei denen Apps direkt im Google Play Store Malware hatten, das ist aber eher die Ausnahme.

Google selbst schreibt zu den Sicherheitsbedingungen im Store:

  • Apps vom Google Play Store werden damit vor dem Herunterladen auf ihre Sicherheit überprüft.
  • Ihr Gerät wird auf potenziell schädliche Apps geprüft, die von anderen Bezugsquellen stammen. Diese schädlichen Apps werden auch Malware genannt.
  • Sie erhalten beim Auffinden potenziell schädlicher Apps einen Warnhinweis und bekannte schädliche Apps werden von Ihrem Gerät entfernt.

Dazu hilft es natürlich, immer regelmäßig Backups vom Gerät zu machen oder machen zu lassen. Dann kann man im Falle einer Infektion mit Copycat oder anderen Exploits immer wieder die Geräte auf einen früheren Zeitpunkt zurück setzen, zu dem die Smartphones noch nicht kompromittiert waren.