Google hat eine neue Android-Spyware einer israelischen Firma gefunden. Im Playstore von Google tarnt sich die Spyware als harmlose App. Zu einem späteren Zeitpunkt wird dann die Rooting-Funktion nachgeladen und das Mobilgerät ausgespäht. Der Quellcode enthält Hinweise auf die Firma Equus Technologies aus Israel.

Google hat am 26.07.2017 Details über die neue Spyware-Familie für Android veröffentlicht. Die App wurde von einem kommerziellen, israelischen Software Unternehmen entwickelt und verkauft, es handelt sich daher vermutlich um einen Staatstrojaner. Bereits im vergangenen Jahr wurde Chrysaor entdeckt, das von Google als Spyware eingestuft wurde und wie die Pegasus Malware für iOS von der Firma NSO Group stammt.

Nach der Analyise von Google ist Lipizzan eine mehrstufige Software, die über harmlos aussehende Programme aus Googles Play Store verbreitet wird. Google hat ca. 20 Programme im Play Store gefunden, die diese Malware enthalten. Google hat zur Identifizierung der Programme auf den Endgeräten die Technologie „Play Protect“ entwickelt, mittels derer ca. 100 betroffene Endgeräte weltweit ausfindig gemacht werden konnten und die weitere Programmausführung verhindert wurde. Als Namen der Apps nennt Google „Cleaner“, „Notepad“ oder „Sound Recorder“.

Im zweiten Schritt wird das Smartphone gerootet

Während die App zunächst normal läuft, wird in einem zweiten Schritt die eigentliche Schadsoftware nachgeladen. Es werden Informationen über das Gerät gesammelt und übertragen. Wenn alle Bedingungen erfüllt sind, wird das Gerät durch die Spyware gerootet. Danach übermittelt das Smartphone Informationen an einen Command-and-Control Server.

Die Spyware konnte scheinbar eine große Menge unterschiedlicher Informationen auslesen, wesentlich mehr als, der Funktionsumfang einer Quellen-Telekommunkationsüberwachung (QTKÜ) bisher zulässt. Es konnten Telefon- und Voip-Gespräche mitgeschnitten werden, der Standort überwacht und Umfeldmitschnitte über das Microfon. Darüberhinaus sollen Schnittstelle zu Apps wie Gmail, Skype oder linkedin in der Spyware enthalten sein.

Abgelegt wurden die Funktionen in der App mit dem Namen com.android.mediaserver, der nach Angaben von Google aber nichts mit dem für Sicherheitslücken anfälligen (echten) Medienserver von Android zu tun hat. Google empfiehlt Nutzern, die Funktionen Google Play Protect per Opt-in zu aktivieren. Dabei werden die auf dem Smartphone installierten Apps regelmäßig auf bekannten Schadcode analysiert. Jeder Nutzer sollte hier selbst entscheiden, ob Google dieser Zugriff gewährt werden soll. Google Play Protect ist ab der Andorid-Version 7.0 verfügbar.