Aufspüren von versteckten Administrator-Apps auf Android-Geräten

Originalartikel von Bob Pan, Mobile Security Engineer

Kürzlich warnte Trend Micro vor dem OBAD Android-Schädling, der sich als Administrator auf einem Gerät installiert und dies mit Hilfe einer Sicherheitslücke in Android vor dem Nutzer verbergen kann. Aufgrund dieses Verhaltens ist es sehr schwierig, die Malware zu entfernen.

Apps, die sich selbst als Administrator aufsetzen, erfordern eine Nutzerinteraktion zum Entfernen. Doch weil die Schwachstelle wiederum die App verschleiert, kann sie auch nicht entfernt werden.

Als Reaktion auf dieses Problem hat Trend Micro die Hidden Device Admin Detector App erstellt. Mit dem Tool können Nutzer Apps überwachen und deaktivieren, die Administratorrechte auf dem Gerät besitzen und in der Liste Android Device Administrator nicht auftauchen.

Die meisten Apps benötigen diese Geräteadministratoren-Privilegien nicht. Sie sind vergleichbar mit dem Root-Zugriff auf einer Linux/Unix-Maschine oder mit dem Administratorenzugriff unter Windows, denn sie gewähren die komplette Kontrolle über das Gerät. Deshalb wird der Nutzer aufgefordert, diese Rechte zu aktivieren. Zu den Apps, die diese Art von Privilegien benötigen, gehören Sicherheits-Apps (etwa Trend Micro Mobile Security) und Systemverwaltungs-Apps, die in BYOD-Umgebungen eingesetzt werden können.

Wird die App ausgeführt, so zeigt sie alle Apps mit Administratorrechten an, die die Schwachstelle ausnutzen, um sich selbst zu verbergen.

Abbildung 1. Anzeige der Hidden Device Admin Detector App

Hier kann der Nutzer die Privilegien deaktivieren. Bösartige Apps mit deaktivierten Administratorrechten können nun entfernt werden, sei es mit Hilfe von Sicherheitsprodukten oder vom Nutzer selbst.

Android selbst enthält diese Fähigkeit auch, doch aufgrund der erwähnten Schwachstelle ist die zur Verfügung gestellte Liste nicht immer vollständig. Google wird wohl irgendwann die Sicherheitslücke stopfen, doch infolge der komplizierten Android Update-Situation werden viele Nutzer den Patch nie erhalten. Daher ist es ratsam, Hidden Device Admin Detector App herunterzuladen und von Zeit zu Zeit nach schädlichen Apps auf dem Gerät zu suchen. Die App ist im Google Play App Store vorhanden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*