Android ist mit 2 Milliarden Nutzern längst das über alle Plattformen hinweg am weitesten verbreitete Betriebssystem, und ist damit natürlich auch das attraktivste Ziel für Malware und andere schadhafte Apps. In den vergangenen Tagen ist wieder eine neue Malware entdeckt worden, die im Laufe der letzten zwei Monate mehr als 14 Millionen Smartphones befallen hat. Potenziell betroffen sind durch die hohe Fragmentierung aber etwa 1/3 aller Android-Nutzer.
Schadhafte Apps für Android verbreiten sich leider extrem schnell und befallen innerhalb kürzester Zeit viele Millionen Smartphones, und das oftmals sogar ohne dass der Nutzer überhaupt etwas davon bemerkt. Malware-Entwickler nutzen immer wieder die Gutgläubigkeit der Nutzer aus und machen es sich zusätzlich zunutze, dass die wenigsten Nutzer wirkliche IT-Experten sind, die eine Malware und ihre im Hintergrund ablaufenden Aktivitäten erkennen können.
In den vergangenen Tagen ist wieder eine neue Malware namens CopyCat aufgetaucht, die sich innerhalb der letzten zwei Monate rasend schnell verbreitet hat. Innerhalb dieses relativen kurzen Zeitraums soll sich die Malware bereits auf 14 Millionen Smartphones verbreitet haben, und daran sind die Nutzer nicht ganz unschuldig. Die Malware kommt über Apps aus unbekannten Quellen auf das Gerät, die sich als populäre Apps ausgeben und so den Nutzer zur Installation verleiten. Insbesondere Apps, die im Play Store Geld kosten, verleiten immer wieder zur Installation aus unsicheren Quellen.
Ist die Malware erst einmal installiert, kann sie sehr schnell die Kontrolle über das Smartphone übernehmen. Von den 14 Millionen Smartphones sollen 8 Millionen gerootet worden sein – und das sehr wahrscheinlich ohne Wissen des Nutzers. Dadurch haben die Algorithmen deutlich mehr Kontrolle und können sich überall einklinken. In der Vergangenheit haben wir schon öfter beschrieben wie durch ClickJacking und andere Methoden Geräte ohne Wissen des Nutzers gerootet werden können.
Ist die Malware erst einmal installiert, ist sie für die Entwickler äußerst lukrativ: Unter anderem tauscht die Malware die Werbebanner in bestehenden Apps und blendet die eigenen Banner ein bzw. tauscht die Werbe-ID aus. Dadurch sollen die Entwickler allein in den vergangenen zwei Monaten 1,5 Millionen Dollar eingenommen haben und werden in Zukunft durch die weitere Verbreitung noch deutlich mehr umsetzen können.
Google ist die Malware mittlerweile bekannt und über den Play Store kann sie nicht verbreitet werden, wohl aber über die unsicheren Quellen. Diese werden zwar auch über die Verify Apps-Funktion geschützt, aber durch Sicherheitslücken in alten Android-Versionen ist ein vollständer Schutz nicht möglich. Zur Verbreitung und Verschleierung werden viele Sicherheitslücken ausgenutzt, die mit Android 5.1 Lollipop gestopft worden sind. Alle Versionen darunter sind allerdings weiter anfällig.
Durch die Update-Faulheit der Hersteller sind derzeit laut den aktuellen Zahlen noch immer 34 Prozent aller Nutzer auf einer Version unter der Nummer 5.1. Betroffen sind alle Smartphones mit Android 5.0 und darunter. Diese Lücken lassen sich ohne Unterstützung durch die Hersteller auch nicht schließen und auch über die Play Services kann Google nicht viel ausrichten, wenn das Betriebssystem bereits gerootet wurde und sich die Apps vor diesen Mechanismen verstecken.
Die obige Karte zur Verbreitung zeigt auch, wie dieses Problem überhaupt entsteht: Mehr als die Hälfte aller betroffenen Geräte stammen aus dem asiatischen Raum, wo oft Android-Smartphones ohne Play Store verkauft werden. Nur sieben Prozent der betroffenen stammen aus Europa und 12 Prozent aus den USA. Man kann also immer wieder nur gebetsmühlenartig wiederholen: Installiert keine Apps außerhalb des Play Store, vor allem nicht aus dubiosen Quellen.
» Ausführlicher Bericht bei CheckPoint