Google: Neue Spyware Lipizzan im Play Store entdeckt und unschädlich gemacht

29. Juli 2017 Kategorie: Android, Backup & Security, Google, geschrieben von: Benjamin Mamerow

Wenn ein Angreifer seine PHAs (Potentially Harmful Applications) nicht darauf programmiert, so viele Geräte wie möglich zu infizieren und infiltrieren, sondern lediglich ein paar wenige Geräte attackieren lässt, so nennt man das bei Google „targeted attack“ – einen gezielten Angriff. Zuletzt entdeckte man im April die Spyware Chrysaor, die vermutlich von der Gruppe NSO Group Technologies erschaffen worden ist. Bei der weiteren Überprüfung eigener Systeme, entdeckte das Team von Google eine weitere Software, die in knapp 20 Apps ihr Unwesen zu treiben versuchte und damit auch beinahe 100 Geräte infiziert haben soll.

Der Name: Lipizzan. Funktionsweise: Das System in mehreren Schritten auszuspionieren und dabei persönliche Daten aus Emails, SMS, Sprachnachrichten, Medien und Standortinformationen herauszufiltern.

Die zu den Apps gehörenden Entwickleraccounts wurden blockiert, die infizierten Apps wurden aus dem Anndroid-Ökosystem entfernt. Googles Dienst Play Protect hat sämtliche befallenen Geräte informiert und die Lipizzan-Apps entfernt.

Google selbst informiert nun, dass man aufbauend auf diesen Geschehnissen, die entsprechenden Google Play Protect-Fähigkeiten noch weiter ausgebaut habe, um mögliche weitere Spyware ebenso enttarnen zu können.

Weitere Informationen zur Vorgehensweise von Lipizzan und Googles Diensten könnt ihr unserer Quelle entnehmen. Besonders interessant hierbei ist auch folgender Abschnitt:

Wie funktioniert Lipizzan?

Once implanted on a target device

The Lipizzan second stage was capable of performing and exfiltrating the results of the following tasks:

  • Call recording
  • VOIP recording
  • Recording from the device microphone
  • Location monitoring
  • Taking screenshots
  • Taking photos with the device camera(s)
  • Fetching device information and files
  • Fetching user information (contacts, call logs, SMS, application-specific data)

The PHA had specific routines to retrieve data from each of the following apps:

  • Gmail
  • Hangouts
  • KakaoTalk
  • LinkedIn
  • Messenger
  • Skype
  • Snapchat
  • StockEmail
  • Telegram
  • Threema
  • Viber
  • Whatsapp

Über den Autor: Benjamin Mamerow

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Benjamin hat bereits 914 Artikel geschrieben.