Kurze Bytes: Eine Sicherheitsfirma namens Zscalar entdeckte eine bösartige App, die im Play Store mit einem falschen Systemaktualisierung lebte. Es konnte rund 3 Jahre überleben. Unter der Haube verbirgt sich ein Ersatzteil namens SMSVova, das vom Angreifer per SMS gesteuert werden kann, um Standortdetails abzurufen und das Gerätekennwort zu ändern.

Angesichts der gigantischen Größe des Google Play-Stores kann man leicht zustimmen, dass auf der Plattform möglicherweise bösartige Apps vorhanden sind. Was in letzter Zeit bekannt wurde, hat jedoch ein verstecktes Überraschungselement.

Eine als "System Update" getarnte Malware ist seit der letzten Aktualisierung im Jahr 2014 etwa drei Jahre lang im Google Play Store vorhanden. Möglicherweise war sie eine längere Zeit im Leben, wenn eine Sicherheitsfirma Zscaler sich bezüglich Google nicht mit Google in Verbindung gesetzt hatte Existenz der App, versteckt eine Spyware namens SMSVova.

„Die Anwendung wird aktualisiert und ermöglicht spezielle Standortfunktionen“, liest die Beschreibung auf der App-Seite, die selbst ziemlich dubios aussieht und leere weiße Screenshots enthält. Trotzdem hatte die App eine Download-Zahl zwischen einer und fünf Millionen.

Benutzer, die die App heruntergeladen haben, haben Bewertungen veröffentlicht, aus denen hervorgeht, dass die App ihr System nicht aktualisiert hat und das Gerät nach der Installation nicht mehr reagiert.

Im Blog-Beitrag beschrieb Shivang Desai von Zscaler die Arbeitsweise der App. Beim Start zeigt die App eine Fehlermeldung an, die besagt, dass der Update-Dienst beendet wurde. Es erledigt seine Arbeit im Hintergrund.

Die Spyware erstellt einen Android-Dienst namens MyLocationService, um den letzten bekannten Speicherort abzurufen, und speichert ihn in den gemeinsam genutzten Voreinstellungen, einem Ort, an dem Android die Daten einer Anwendung speichert.

Außerdem sucht die Spyware nach eingehenden SMS-Texten, die mehr als 23 Zeichen umfassen und die Zeichenfolge „vova-“ enthalten. Es sucht auch nach einer Zeichenfolge namens "get faq" in der SMS.

Wenn der Angreifer eine SMS mit dem Befehl „faq bekommen “, Er erhält eine Antwort mit der Liste der Befehle, die er auf dem Gerät ausführen kann, indem er weitere SMS sendet. Dies beinhaltet das Ändern des Passworts des Geräts.

Falls der Akku des Geräts schwach ist, sendet die Spyware laut Desai den letzten bekannten Ort an den Angreifer. Er ist jedoch nicht klar über den Zweck der Standortaufzeichnung.

Desai wies darauf hin, dass das SMS-basierte Verhalten der App möglicherweise dazu beigetragen hat, dass die Filter von Google die Filter von Google überschreiten und von Antiviren-Tools nicht erkannt werden.

Der Code von SMSNova ähnelt auffallend dem eines weithin bekannten Fernzugriffs-Trojaners namens DroidHack RAT. Es kann sein, dass die Spyware eine erste Version des Trojaners ist.

Wenn Sie etwas hinzuzufügen haben, lassen Sie Ihre Gedanken und Ihr Feedback fallen.

Arbeitete Für Sie: Robert Gaines & George Fleming | Möchten Sie Uns Kontaktieren?

Kommentare Auf Der Website: