Google: Neue Spyware Lipizzan im Play Store entdeckt und unschädlich gemacht
Wenn ein Angreifer seine PHAs (Potentially Harmful Applications) nicht darauf programmiert, so viele Geräte wie möglich zu infizieren und infiltrieren, sondern lediglich ein paar wenige Geräte attackieren lässt, so nennt man das bei Google „targeted attack“ – einen gezielten Angriff. Zuletzt entdeckte man im April die Spyware Chrysaor, die vermutlich von der Gruppe NSO Group Technologies erschaffen worden ist. Bei der weiteren Überprüfung eigener Systeme, entdeckte das Team von Google eine weitere Software, die in knapp 20 Apps ihr Unwesen zu treiben versuchte und damit auch beinahe 100 Geräte infiziert haben soll.
Der Name: Lipizzan. Funktionsweise: Das System in mehreren Schritten auszuspionieren und dabei persönliche Daten aus Emails, SMS, Sprachnachrichten, Medien und Standortinformationen herauszufiltern.
Die zu den Apps gehörenden Entwickleraccounts wurden blockiert, die infizierten Apps wurden aus dem Anndroid-Ökosystem entfernt. Googles Dienst Play Protect hat sämtliche befallenen Geräte informiert und die Lipizzan-Apps entfernt.
Google selbst informiert nun, dass man aufbauend auf diesen Geschehnissen, die entsprechenden Google Play Protect-Fähigkeiten noch weiter ausgebaut habe, um mögliche weitere Spyware ebenso enttarnen zu können.
Weitere Informationen zur Vorgehensweise von Lipizzan und Googles Diensten könnt ihr unserer Quelle entnehmen. Besonders interessant hierbei ist auch folgender Abschnitt:
Once implanted on a target device
The Lipizzan second stage was capable of performing and exfiltrating the results of the following tasks:
- Call recording
- VOIP recording
- Recording from the device microphone
- Location monitoring
- Taking screenshots
- Taking photos with the device camera(s)
- Fetching device information and files
- Fetching user information (contacts, call logs, SMS, application-specific data)
The PHA had specific routines to retrieve data from each of the following apps:
- Gmail
- Hangouts
- KakaoTalk
- Messenger
- Skype
- Snapchat
- StockEmail
- Telegram
- Threema
- Viber
Der Knaller schlecht hin. Google verurteilt eine App die das selbe macht wie die eignenen. Daten auslesen und an eigene Server senden. Ich habe von Google noch nie eine Benachrichtigung erhalten wenn Google in ihren Apps still heimlich neue Funktionen ergänzt die saber sofort aber aktiv geschalten sind. Bestes Beispiel Google Play Protectvor kurzem. Bis ich es hier lass um es einzustellen hat es schon 3 Tagezuvor alle meine Apps durchgescannt und anGoogle übermittelt. Wollte ich das nein.
Google ist halt die Spyware selbst
@ Steffen Schad – Android nutzen und sich beschweren dass Daten gesaugt werden, ist wie Auto fahren und sich aufregen dass Kraftstoff verbraucht wird.
@Steffen
stimmt. dabei bin ich da merkwürdigerweise nicht mal als erstes draufekommen.
Mein erster Gedanke war: Bei jedem Kommentar zu alternativen App-Stores wird ja immer gemeckert, darin bestünde das Risiko, sich Spyware einzufangen. Dass es diese App, verteilt über den Google Play Store, es auch geschafft hat, knapp 100 Userprofile zu sammeln, bis die tollen Kontrollmechanismen (wahrscheinlich hat sich einfach einer der 100 beschwert) angeschlagen haben und dass das nun wirklich keine Ausnahme ist (sowohl beim Google Play Store als auch bei alternativen Stores) – Stichwort: Taschenlampe braucht GPS-Standort, Internet und Kontaktdaten – fehlt in solchen kommentaren leider gewöhnlich.
Das ist doch eher ein gutes Zeichen, dass Google Play Protect so gut funktioniert: Es wurden nur sehr, sehr wenige Geräte betroffen und die Malware wurde von Google Play Protect entfernt und seitdem blockiert:
„There were fewer than 100 devices that checked into Google Play Protect with the apps listed below. That means the family affected only 0.000007% of Android devices. Since we identified Lipizzan, Google Play Protect removed Lipizzan from affected devices and actively blocks installs on new devices.“
Andere Hersteller hätten das nicht so offen kommuniziert, sondern erst ignoriert und dann verheimlicht. Und dieser Blog hätte nicht so negativ darüber berichtet.
Die Malware stammt übrigens von NSO Group Technologies aus Israel. Das ist diese Firma, die auch Staatstrojaner für Apple iOS verkauft.
@ Tobi das ist doch nur das übliche Apple-Gehate… weiß doch jeder, dass Apple viel sicherer ist als Android…
@John: Das ist halt die Scheuklappen, wenn ich keine Möglichkeit habe zu kontrollieren, dann fallen mir auch keine Probleme auf. Bei iOS ist man halt auf Apple angewiesen und es können kaum Dritte nach Fehlern oder Schadsoftware suchen.
@John Apple mag sicherer sein, als Android. Das liegt in der Natur der Sache: weil man da ein System hat, wo der Hersteller bestimmt, welche Software installiert werden darf.
Wenn du in einem Käfig sitzt, ist es auch viel schwieriger für einen Dieb, dir die Brieftasche zu klauen.
Es gibt aber auch Leute, die sich gerne die Freiheit nehmen, auf ihrem Smartphone die Software zu nutzen, die ihnen gefällt. Dafür muss man dann auch in akzeptieren, dass man sich zwar einen systemweit aktiven Werbeblocker installieren kann, aber auch die Gefahr besteht, etwas schädliches zu erwischen. Damit muss ich leben, wenn ich aus dem Käfig rausgehe.
Mein Gott, Tobi, wie lächerlich willst du dich noch machen? Hier geht es um Android und sogar hier versucht du es mit deinem erbärmlichen Gehate. Das ist schon pathologisch. Beide Attacken sind ähnlicher Natur, targeted attack auf Einzelpersonen. Kleiner Unterschied beim Vektor, dieser hier war unbemerkt im Play Store, für die iOS Spyware musste man auf eine präparierte Seite.
Jaja, Apple hat total langsam und intransparent reagiert. In Wahrheit ist es so dass der Fix noch am selben Tag der Bekanntmachung der Spyware veröffentlicht und hier dokumentiert wurde: https://support.apple.com/en-us/HT207107
Mein Gott Kalle, du drehst dir als Apple-Fanboy die Realität genau so zurecht wie das auch die PR-Abteilung von Apple tut. In Wahrheit ist es doch so, dass NSO die iOS-Spyware Pegasus ZWEI JAHRE LANG verkaufen konnte, bis Apple dieses Problem angegangen hat. Vorher haben sie es einfach nicht angesprochen und die eigenen User in falscher Sicherheit eingelullt.
Das ist auch der Grund, warum sich Apple-Fanboys wie du in der Illusion falscher Sicherheit wiegen. Weil Apple ungelöste Sicherheitslücken und Probleme einfach verschweigt.
Die Pegasus-Spyware für iOS zeigt sehr schön, dass Apple’s Prinzip „Security by Obscurity“ (Sicherheit durch Verschweigen) nicht funktioniert. Das führt zwar zu mehr „gefühlter“ Sicherheit für die Schäfchen, aber in Wirklichkeit sind sie umso mehr gefährdet. Da gibt es nichts schönzureden. Google ist da einfach deutlich transparenter.
Apple ist halt das eigene Image in der Öffentlichkeit wichtiger als die Sicherheit der User.
Aber das funktioniert auch hier im Blog. Über die sofort geblockte Spyware „Lipizzan“ wird hier sofort berichtet. Über die zwei Jahre lang verkaufte iOS-Spyware „Pegasus“ hat Caschys Blog dagegen kein Wort verloren.
Du hast ein kleines Logikproblem: eine Spyware, von der man nichts weiss, kann man schlecht angehen. Der Rest ist das übliche dümmliche Gehate und Bullshit. Aber netter Versuch etwas herbeizureden. Beim nächsten mal klappt es besser, gib nicht auf!
@Tobi, @TVB
Ironie scheint im Internet einfach nicht zu funktionieren… 😀
@TVB sehe ich ähnlich, ich wollte eigentlich auch nur einen klischeehaften Fanboy-Satz abliefern. Er war scheinbar leider zu realistisch.
@John: Stimmt. Ironie funktioniert dann nicht mehr, wenn naive Fanboys wie iKalle in der Realität noch dämlicher sind als jede Satire. 😉
Auf der einen Seite zeigt dies, dass die – längst überfälligen – Schutzmaßnahmen von Google greifen. Auf der anderen Seite wäre es besser die Apps generell vor Veröffentlichung einem grundlegenden Check zu unterziehen, wie dies Apple auch tut. Man muss ja nicht gleich ähnlich regide beim ablehnen von Apps vorgehen aber ein prüfen auf Schadsoftware sollte eigentlich zum Standard gehören vor einer Veröffentlichung.
@elknipso: Auch bei Google werden die Apps vor dem Einstellung geprüft. Es werden aber zusätzlich Stichproben gemacht, ob die App nicht doch durchgerutscht ist.
@MorMan
Wenn es wirklich eine gründliche Prüfung vorm einstellen in den Play Store gäbe, dürfte es nicht so viele Probleme mit Viren und sonstiger Schadsoftware im offiziellen Play Store geben.