Neue Spyware-Plattform ermöglicht Käufern das Rebranding und den Weiterverkauf von Android-Überwachungs-Malware

Es präsentiert sich als elterliche Überwachungs-App, aber sein wahres Ziel hat nichts mit der Kindersicherheit zu tun. Sobald es auf einem Zielgerät installiert ist, läuft es vollständig im Hintergrund und gibt dem Betreiber die volle Kontrolle über das Telefon des Opfers, ohne dass das Opfer es jemals merkt.

Es funktioniert auf Android 7 und neuer, gibt Unterstützung für Android 16 an und wird als Abonnement ab $60 verkauft. Ein separates White-Label-Paket ermöglicht es Käufern, es komplett neu zu branden und es unter dem Namen und der Preisstruktur ihrer eigenen Firma weiterzuverkaufen.

Certo Analysts stellten fest, dass KidsProtect offen in einem Clear-Web-Hacking-Forum beworben wurde, ein ungewöhnlicher Ort für ein Tool, das angeblich Kinder schützen soll.

Die Anzeige bemühte sich wenig, den

Die Anzeige bemühte sich wenig, den wahren Zweck des Tools zu verbergen, und beworb es als „Built for Stability and Stealth“ und bot einen kostenlosen ein-tägigen Test für potenzielle Käufer an. Der Entwickler, basierend auf Forumsprofildetails und In-App-Screenshots, scheint griechischsprachig zu sein.

Das KidsProtect Operator Portal (Quelle – Certo) Das White-Label-Reseller-Modell bedeutet, dass selbst wenn ein Betreiber örden abgeschaltet wird, Dutzende neuer Betreiber die gleiche Technologie innerhalb weniger Stunden unter neuer Marke wieder aufsetzen können.

Marketing-Text (Quelle – Certo) Dies untergräbt frühere Durchsetzungsmaßnahmen direkt. Im Jahr 2024 ordnete ein Gericht in New York die Schließung , zwei bekannte Stalkerware-Plattformen.

Das KidsProtect-Reseller-Modell ist speziell darauf ausgelegt,

Das KidsProtect-Reseller-Modell ist speziell darauf ausgelegt, solche Siege mit der Zeit viel weniger bedeutsam zu machen. Unsichtbar im Klartext: Wie KidsProtect die Erkennung umgeht Der vielleicht bewusstste Aspekt , wie sehr es daran arbeitet, auf einem Gerät unsichtbar zu bleiben.

Nach der Installation erscheint es nicht unter seinem echten Namen. Stattdessen wird es als „WiFi Service“ oder „WiFiService Installer“ angezeigt, ein allgemeiner Bezeichner, den die meisten Benutzer ohne nachzudenken übersehen würden.

Sein Zugänglichkeitsdienst ist mit „WiFiService Assistant“ beschriftet und sein Benachrichtigungshörer heißt „WiFiService Monitor“, wodurch jedes sichtbare Bauteil wie ein harmloser Systemprozess wirkt. Der Paketname der App, com.example.parentguard, wirft für jeden mit Kenntnissen in der Softwareentwicklung sofort rote Flaggen auf.

Der Präfix „com.example“ ist ein Platzhalter,

Der Präfix „com.example“ ist ein Platzhalter, der in Anfänger-Programmier-Tutorials verwendet wird und fast nie in echter kommerzieller Software erscheint, die an zahlende Kunden verkauft wird. Sein Einsatz hier deutet stark auf eine bewusste Entscheidung hin, eine nachverfolgbare Identität innerhalb der App selbst zu vermeiden.

KidsProtects Funktionen auf einem Hacking-Forum aufgelistet (Quelle – Certo) Certo-Forscher haben die APK-Datei beschafft und analysiert und bestätigt, dass die App eine umfangreiche Liste , darunter ACCESS_BACKGROUND_LOCATION, RECORD_AUDIO, CAMERA, READ_SMS, READ_CALL_LOG und READ_CONTACTS, unter anderem viele andere.

Die App missbraucht auch die Android-Berechtigung „Accessibility Service“, die ihr die Fähigkeit verleiht, jeden auf dem Bildschirm angezeigten Inhalt zu lesen und Passwörter abzufangen, während sie eingegeben werden, und dem Angreifer somit eine vollständige Sichtbarkeit über das gesamte Gerät gibt.

KidsProtects Live-Audio-Streaming-Funktion (Quelle – Certo) Die

KidsProtects Live-Audio-Streaming-Funktion (Quelle – Certo) Die App fordert die Berechtigungen SYSTEM_ALERT_WINDOW und REQUEST_IGNORE_BATTERY_OPTIMIZATIONS an, welche verhindern, dass Android sie zum Energiesparen beendet. Eine BootReceiver-Komponente startet sie bei jedem Neustart des Geräts automatisch neu.

Um eine Entfernung zu blockieren, registriert es sich als Geräteadministrator über MyDeviceAdminReceiver, was eine Deinstallation über die normalen Telefon-Einstellungen unmöglich macht.

Auf seiner Download-Seite weist es Benutzer an, Google Play Protect zu deaktivieren, bevor sie installieren, ein Zeichen dafür, dass die App als Malware eingestuft würde, wenn der integrierte Scanner wäre.

Der Download-Bildschirm für KidsProtect (Quelle –

Der Download-Bildschirm für KidsProtect (Quelle – Certo) Den Nutzern wird dringend geraten, Google Play Protect jederzeit aktiviert zu lassen und niemals APK-Dateien aus Quellen außerhalb des offiziellen Google Play Stores zu installieren.

Jede App, die Zugriff auf den Barrierefreiheitsdienst anfordert, sollte sorgfältig geprüft werden, bevor eine Berechtigung erteilt wird. Die Überprüfung der Liste der Geräteadministratoren in den Android-Sicherheitseinstellungen kann helfen, unbefugte Einträge zu identifizieren.

Wird der Paketname com.example.parentguard auf einem Gerät erkannt, sollte dies als bestätigte Infektion behandelt und sofort gemeldet werden.

Indikatoren für Kompromittierung: Paketname: com.example.parentguard SHA-256-Hashes:

Indikatoren für Kompromittierung: Paketname: com.example.parentguard SHA-256-Hashes: –

9864db6b5800d9e03b747c46fdef988e035cadde83077a41c5610d5d89f753a0

1b1d9b260deec0c612ec67579fd36fec7722b2b8446ab32284a08f44f4ea64da

Warum das relevant ist

f4e9733d93ce35ecd3c83f18addf77f8ff49444d09847eaeef9c8e87837d0165

17817d9e29920493bb20ed626c3026e3c29eb6f1d56ef9462c306066ce2ad171

f0d01b28ddfdbefe0697994a6b30f2b8a4e39ef1ad6c9427b921b2ccd945a8c5 Sie uns auf

Der Beitrag New Spyware Platform Lets Buyers Rebrand and Resell Android Surveillance Malware erschien zuerst auf Cyber Security News.