Neue Spyware-Plattform ermöglicht Käufern das Rebranding und den Weiterverkauf von Android-Überwachungs-Malware

Technik und Auswirkungen

Das KidsProtect-Reseller-Modell ist speziell darauf ausgelegt, solche Siege mit der Zeit viel weniger bedeutsam zu machen. Unsichtbar im Klartext: Wie KidsProtect die Erkennung umgeht Der vielleicht bewusstste Aspekt, wie sehr es daran arbeitet, auf einem Gerät unsichtbar zu bleiben.

Nach der Installation erscheint es nicht unter seinem echten Namen. Stattdessen wird es als „WiFi Service“ oder „WiFiService Installer“ angezeigt, ein allgemeiner Bezeichner, den die meisten Benutzer ohne nachzudenken übersehen würden.

Sein Zugänglichkeitsdienst ist mit „WiFiService Assistant“ beschriftet und sein Benachrichtigungshörer heißt „WiFiService Monitor“, wodurch jedes sichtbare Bauteil wie ein harmloser Systemprozess wirkt. Der Paketname der App, com.example.parentguard, wirft für jeden mit Kenntnissen in der Softwareentwicklung sofort rote Flaggen auf.

Technik und Auswirkungen

Der Präfix „com.example“ ist ein Platzhalter, der in Anfänger-Programmier-Tutorials verwendet wird und fast nie in echter kommerzieller Software erscheint, die an zahlende Kunden verkauft wird. Sein Einsatz hier deutet stark auf eine bewusste Entscheidung hin, eine nachverfolgbare Identität innerhalb der App selbst zu vermeiden.

KidsProtects Funktionen auf einem Hacking-Forum aufgelistet (Quelle – Certo) Certo-Forscher haben die APK-Datei beschafft und analysiert und bestätigt, dass die App eine umfangreiche Liste, darunter ACCESS_BACKGROUND_LOCATION, RECORD_AUDIO, CAMERA, READ_SMS, READ_CALL_LOG und READ_CONTACTS, unter anderem viele andere.

Die App missbraucht auch die Android-Berechtigung „Accessibility Service“, die ihr die Fähigkeit verleiht, jeden auf dem Bildschirm angezeigten Inhalt zu lesen und Passwörter abzufangen, während sie eingegeben werden, und dem Angreifer somit eine vollständige Sichtbarkeit über das gesamte Gerät gibt.

Technik und Auswirkungen

KidsProtects Live-Audio-Streaming-Funktion (Quelle – Certo) Die App fordert die Berechtigungen SYSTEM_ALERT_WINDOW und REQUEST_IGNORE_BATTERY_OPTIMIZATIONS an, welche verhindern, dass Android sie zum Energiesparen beendet. Eine BootReceiver-Komponente startet sie bei jedem Neustart des Geräts automatisch neu.

Um eine Entfernung zu blockieren, registriert es sich als Geräteadministrator über MyDeviceAdminReceiver, was eine Deinstallation über die normalen Telefon-Einstellungen unmöglich macht.

Auf seiner Download-Seite weist es Benutzer an, Google Play Protect zu deaktivieren, bevor sie installieren, ein Zeichen dafür, dass die App als Malware eingestuft würde, wenn der integrierte Scanner wäre.

Technik und Auswirkungen

Der Download-Bildschirm für KidsProtect (Quelle – Certo) Den Nutzern wird dringend geraten, Google Play Protect jederzeit aktiviert zu lassen und niemals APK-Dateien aus Quellen außerhalb des offiziellen Google Play Stores zu installieren.

Jede App, die Zugriff auf den Barrierefreiheitsdienst anfordert, sollte sorgfältig geprüft werden, bevor eine Berechtigung erteilt wird. Die Überprüfung der Liste der Geräteadministratoren in den Android-Sicherheitseinstellungen kann helfen, unbefugte Einträge zu identifizieren.

Wird der Paketname com.example.parentguard auf einem Gerät erkannt, sollte dies als bestätigte Infektion behandelt und sofort gemeldet werden.

Indikatoren für Kompromittierung: Paketname: com.example.parentguard SHA-256-Hashes:

Indikatoren für Kompromittierung: Paketname: com.example.parentguard SHA-256-Hashes: –

9864db6b5800d9e03b747c46fdef988e035cadde83077a41c5610d5d89f753a0

1b1d9b260deec0c612ec67579fd36fec7722b2b8446ab32284a08f44f4ea64da

Warum das relevant ist

f4e9733d93ce35ecd3c83f18addf77f8ff49444d09847eaeef9c8e87837d0165

17817d9e29920493bb20ed626c3026e3c29eb6f1d56ef9462c306066ce2ad171

f0d01b28ddfdbefe0697994a6b30f2b8a4e39ef1ad6c9427b921b2ccd945a8c5 Sie uns auf

Der Beitrag New Spyware Platform Lets Buyers Rebrand and Resell Android Surveillance Malware erschien zuerst auf