Gestern veröffentlichte ein Sicherheitsunternehmen einen Bericht über eine noch nie dagewesene Android-Malware namens Snowblind. Sie missbraucht angeblich eine integrierte Android-Sicherheitsfunktion, um nicht entdeckt zu werden. Die neuartige Technik macht alle modernen Android-Geräte und -Apps dafür anfällig. Google weist diese Behauptung jedoch zurück. In einer Stellungnahme gegenüber Android Headlines erklärte der Android-Hersteller, dass ihm die Malware bereits bekannt sei und er Sicherheitsmaßnahmen dagegen ergriffen habe.
Google Play Protect kann Snowblind-Android-Malware erkennen und blockieren
Snowblind wurde vom Sicherheitsanbieter für mobile Apps Promon entdeckt und ist eine neue Android-Banking-Malware, die das Android-System manipuliert, um Apps unbemerkt zu kompromittieren. Sie greift das Sicherheitstool „seccomp“ (Secure Computing) von Android an, um Sicherheitsprüfungen zu umgehen und heimlich bösartige Aktivitäten auszuführen. Die Angreifer können Anmeldeinformationen und andere Informationen stehlen, um nicht autorisierte Finanztransaktionen auf infizierten Geräten durchzuführen.
Promon sagte, es habe noch nie zuvor gesehen, dass „Seccomp als Angriffsvektor verwendet wurde“, was Snowblind zu einer einzigartigen Android-Malware macht. Das Unternehmen fügte hinzu, dass es nicht davon ausgehe, dass viele Apps Schutz dagegen hätten. Der Sicherheitsanbieter forderte seine Kunden und andere App-Entwickler auf, auf Promon SHIELD Version 6.5.2 oder höher zu aktualisieren, um ihre Produkte in Zukunft vor Snowblind und anderen potenziellen Seccomp-basierten Sicherheitsangriffen zu schützen.
Kurz nachdem wir über Promons Entdeckung berichtet hatten, meldete sich Google und teilte uns mit, dass es von Snowblind und seinen Techniken wisse. „Wir können bestätigen, dass uns diese Malware bereits vor diesem Bericht bekannt war“, teilte uns das Unternehmen in einer E-Mail mit. Der Name der Malware wurde aus offensichtlichen Gründen nicht erwähnt – Promon nannte den Namen Snowblind, weil es als erstes öffentlich bekannt gab, dass diese Android-Banking-Malware eine Systemfunktion missbraucht.
„Nach unseren derzeitigen Erkenntnissen wurden auf Google Play keine Apps gefunden, die diese Malware enthalten“, heißt es in der offiziellen Erklärung weiter. „Android-Nutzer werden durch Google Play Protect, das auf Android-Geräten mit Google Play Services standardmäßig aktiviert ist, automatisch vor bekannten Versionen dieser Malware geschützt. Google Play Protect kann Benutzer warnen oder Apps blockieren, von denen bekannt ist, dass sie bösartiges Verhalten aufweisen, selbst wenn diese Apps von Quellen außerhalb von Play stammen.“
Schneeblindheit ist vielleicht nicht so gefährlich, wie es zunächst klingt
Promons Bericht deutete an, dass Snowblind eine gefährliche Malware ist und dass die meisten Android-Apps keinen Schutz dagegen haben. Die Erklärung von Google verdeutlicht jedoch die Bedrohung. Solange die Malware existiert, blockiert Google Play Protect automatisch ihre Aktivitäten und schützt Android-Benutzer vor allen bekannten Versionen von Snowblind. Google Play Protect kann auch bösartiges Verhalten in Apps erkennen, die außerhalb des Play Stores installiert wurden. Es ist jedoch immer sicherer, Apps nur aus offiziellen Stores herunterzuladen.
