Stalkerware von Cerberus nutzt Barrierefreiheitsfunktionen und Firebase für Fernsteuerung auf Google Play

Ihre Analyse ergab, dass die Überwachungsfunktionen,

Ihre Analyse ergab, dass die Überwachungsfunktionen, die in einem akademischen Paper und der NYU aus dem Jahr 2018 beschrieben wurden, in der aktuellen Version des Play Stores immer noch intakt sind.

Die Forscher stellten außerdem fest, dass die App unter einem umbenannten Paket in den Google Play Store zurückkehrte und damit effektiv der Entfernung entging, die Google 2018 aufgrund einer Richtlinie vornahm, die nichts mit Stalkerware zu tun hatte.

Im Jahr 2020 machte Cerberus 52 Prozent aller weltweit und war damit die am häufigsten nachgewiesene Stalkerware-Familie des Jahres. Firebase-gestützte Kommandoinfrastruktur Ein technisch besonders signifikanter Aspekt dieser Stalkerware ist, wie sie Googles eigene Infrastruktur nutzt, um ihre Kommando- und Kontrolloperationen durchzuführen.

Technischer Hintergrund

Cerberus leitet alle Fernbefehle über Firebase Cloud Messaging, einen, weiter. Das bedeutet, dass die Anweisungen des Täters, wie „Foto machen“ oder „Gerät löschen“, über Googles Server laufen, bevor sie das Telefon des Opfers erreichen.

Fünf Firebase-Projekte, die alle mit demselben LSDroid-Entwicklerkonto verknüpft sind, beherbergen die Kommando-Kanäle und die Echtzeitdatenbank, die das Operator-Dashboard mit den installierten Geräten synchronisiert. Forscher stellten fest, dass die Suspendierung dieser Firebase-Projekte jede aktive Cerberus-Installation sofort würde.

Die Begleit-App, Lock Screen Protector (com.lsdroid.lsp), spielt eine entscheidende Rolle bei der Ausweitung der Reichweite der Stalkerware. Nach Erteilung der Android-Barrierefreiheitsdienstberechtigung liest sie sämtliche Inhalte des Bildschirms aus, führt Touch-Gesten aus und erfasst Screenshots.

Wenn ein Opfer versucht, das Telefon

Wenn ein Opfer versucht, das Telefon auszuschalten, fängt diese App den Ausschaltdialog ab, schließt ihn und sendet einen Screenshot des Sperrbildschirms an die Haupt-Cerberus-App. Das Ergebnis ist ein gefälschter Shutdown: Der Bildschirm wird dunkel, aber Kamera, Mikrofon und GPS bleiben voll aktiv.

Diese Funktion, kombiniert mit der Nutzung einer Open-Source-Bibliothek namens HiddenApiBypass, um Androids eigene interne Einschrnkungen zu umgehen, stellt einen bewussten Versuch dar, sowohl die Erkennung durch den Nutzer als auch die berprfung auf Plattformebene zu umgehen.

Opfern, die einen Kompromiss vermuten, wird dringend geraten, vor jeglichen direkten Manahmen am Gert die National Domestic Violence Hotline in den Vereinigten Staaten unter 1-800-799-7233 zu kontaktieren oder sich an die Coalition Against Stalkerware zu wenden.

Selbst das berprfen der Einstellungen des

Selbst das berprfen der Einstellungen des Telefons kann den Tter alarmieren, da Cerberus nderungen der Berechtigungen in Echtzeit an den Betreiber meldet. Auch forensische Beweise, die fr gerichtliche Schutzanordnungen bentigt werden, knnen whrend des Entfernens verloren gehen.

Organisationen wie Corinell Techs Clinic to End Tech Abuse (CETA) und das NNEDV Safety Net Project knnen berlebende bei einem sicheren, geplanten Entfernungsprozess untersttzen. Sie uns auf