VoicEmployer: Android Malware nutzt Google Now für teure Anrufe

Ein raffiniertes Stück Malware ist VoicEmployer schon, das muss man den Entwicklern lassen. Das besondere an ihr ist, dass sie keinerlei ungewöhnliche Berechtigungen benötigt und auch sonst einen eher harmlosen Eindruck hinterlässt. Bis es still um das Smartphone wird. Dann wird VoicEmployer aktiv und kann selbstständig Nummern wählen. Dazu sind keine Telefonie-Berechtigungen nötig, VoicEmployer bedient sich eines anderen Tricks.

Google Office

Das Mittel zum Zweck heißt Google Now. Die Malware beobachtet den Nutzer, sammelt Informationen von im Smartphone verbauten Sensoren, dazu ist keine spezielle Berechtigung nötig. Auch Uhrzeit, Prozessor-Status und andere Informationen werden gesammelt. Erkennt die Malware dann, dass sie sich in einer sicheren Umgebung befindet, beispielsweise, weil es dunkel ist, der Prozessor kaum arbeitet und auch die Umgebung ruhig ist, wird sie munter.

VoicEmployer startet dann Google Now (über Googles Text to Speech) und wählt eine Nummer per Spracheingabe. Google Now fragt nach, ob die Nummer gewählt werden soll, es kommt ein OK der Malware und schon ist der Smartphonebesitzer ein paar Euro ärmer. Das lässt sich im Prinzip mit allen Google Now Features nutzen, also auch SMS lesen, Standorte anzeigen, etc. Ziemlich mächtig für eine Malware, die bei der Installation keinerlei weitere Zugriffsrechte benötigt.

Einen Schutz davor gibt es aktuell nur bedingt. So kann man zwar einen PIN festlegen, der die Spracheingabe einschränkt, Telefonnummern lassen sich auf diese Weise jedoch immer wählen. Und das dürfte für viele bereits ausreichen, um so eine Schadsoftware zu verbreiten. Google könnte auf mehrere Weisen gegensteuern. Die Spracherkennung auf den Nutzer festlegen, die Spracherkennung generell per PIN schützen (was wiederum auf Kosten des Komforts gehen würde) oder entsprechende Berechtigungen einführen, sodass Apps zum Beispiel keine Sounds senden können, während die Spracheingabe läuft.

Da die Malware auch nicht von gängigen Antivirusprodukten für Smartphones erkannt wird – wie auch, sie macht ja im Prinzip nichts unerlaubtes – bieten diese in diesem Fall gar keinen Schutz. Auch Googles eigener Schutzscan im Google Play Store dürfte an dieser Art Malware scheitern. Sollte VoicEmployer sich verbreiten, muss sich Google allerdings etwas einfallen lassen, einfach nur zusehen ist da Fehl am Platz. (Danke Uli!)

Update: Da hier Fragen auftauchen, natürlich funktioniert dies nur mit aktiviertem „Ok Google“-Hotword, anders würde sich das Beschriebene ja nicht realisieren lassen. Und nein, das funktioniert in Deutschland noch nicht, es sei denn, man nutzt englische Spracheinstellungen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. gibts irgendwo die source? ich habe bereits einige male vergeblich versucht einen workaround für now zu finden um now auch bei gesperrtem bildschirm nutzen zu können (bei meinem razr krieg ich immer nur ein „initialisieren“ auf grauem hintergrund zu sehen) und die gängigen workarounds stürzen einfach ab.

  2. Der Punkt macht mich auch etwas stutzig. Eigentlich dürfte es ja nur bei einem Moto X funktionieren dass auch bei deaktivierten Device auf den Befehl wartet, und dies wiederum ist auf die Stimme des Nutzers trainiert.

  3. @Leif
    Du kannst inzwischen bei allen Geräten in der Spracheinstellung „English (US)“ die Hotword Detection für den Lockscreen in den GoogleNow-Settings aktivieren. Nicht nur beim Moto X.

    Um den Angriffsvektor abzuschalten, genügt es, die Hotword Detection für den Lockscreen zu deaktivieren (falls sie überhaupt aktiv ist).

    Immer noch nicht schön, aber erst mal eine Maßnahme, bis es ein effektives Gegenmittel gibt.

  4. Hut ab ! Pfiffiger Dev !

  5. Ein einfaches Mitte wäre die Möglichkeit, ein eigenes Hotword festzulegen. Dann dürfte die Malware mit OK Google nicht mehr weit kommen.

  6. Wie sieht das denn mit ios aus?
    Geht das mit siri auch?

  7. chinesischer Forscher says:

    vielleicht hätte man statt „Entwickler“ im ersten Satz mal „chinesische Forscher der Universität Hong Kong“ schreiben sollen…so wie es jetzt steht, bekommt der Artikel eine ganz andere Wirkung…
    kann ich nicht verstehen, dass man so einen Punkt außen vorlässt…^^

  8. Und wie kommt die Malware auf das Smartphone? Das ist doch der interessante Punkt.

  9. @Perry3D: versteckt sich in der nächst besten Gratis.app im PlayStore! Wie so viele andere vorher auch!

  10. @Perry

    Wie so oft, gar nicht. Denn diese Malwares befinden sich zu 90% gar nicht im PlayStore, das ist leider ein Fakt der oft absichtlich nicht geschrieben wird, weil die Panikmache sonst nicht läuft, davon abgesehen ist GNow auf so gut wie jedem Gerät erstmal deaktiviert und die meisten nutzen es quasi nicht. Die Erfolgsquote wird auch bei diesen Ding wieder sehr gering sein. Sobald dein Gerät mit PinCode oder Muster gesperrt ist, funktioniert die APP auch nicht mehr.

    Dazu kommt das diese gar nicht verbreitet wird sondern ein Forschungsprojekt ist, die APP soll aufzeigen wie gefährlich Zero-Permission Apps sein können und das MalwareScanner sie nicht aufspüren aktuell.

  11. @Peter: Wie TTX auch schreibt, findet man keine Malware im Playstore. Sowas fängt man sich nur ein wenn man über Dritte seine Apps bezieht.
    Mir ist zumindest kein Fall bekannt, der nicht sofort entfernt wurde.

  12. Wenn ich das richtig lese, dann ist diese Meldung irreführend:
    Es heißt, dass es eine Studie ist:
    http://arxiv.org/abs/1407.4923

    Ich mein – mein Englisch ist nicht super – mag auch sein, dass ich das jetzt aus dem Zusammenhang reiße.

    Dennoch wird aufgezeigt, dass VoicEmployer wohl wie auch in der Zeit berichtet (http://www.zeit.de/digital/datenschutz/2014-07/android-hack-google-voice-search)
    dass es eine Probe ist diese s.g. GVS-Attack auszuführen und die „Null-Rechte-Sicherheit“ nichtig ist und überdacht werden sollte.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.