Bundesamt für Sicherheit in der Informationstechnik

Android Malware

Was ist Android-Malware?

Malware auf Smartphones mit dem Betriebssystem Android lässt sich grundsätzlich in zwei Kategorien einteilen.
Zum einen gibt es die klassische Infektion, bei der Programmcode über Sicherheitslücken in das System gelangt und sich dort festsetzt. Angreifer verändern dabei das Betriebssystem so, dass der Schadcode auch nach einem Neustart des Gerätes automatisch aktiviert wird. Da solche Angriffe meist mit einer Rechteerhöhung einhergehen, der Schadcode also mit Root-Rechte ausgeführt wird, kann er auf älteren Betriebssystemversionen nahezu jede denkbare Aktion ausführen und auf alle Daten zugreifen. Ein Beispiel für diese Infektionsart ist die Ausnutzung der sogenannten Stagefright-Lücke, einer Sicherheitslücke im Media-Framework von Android.
Zum anderen "infiziert" sich der Benutzer sein Smartphone selbst, indem er Apps installiert, die Schadcode enthalten. Die Schadfunktion beschränkt sich dann meist auf Aktionen, die der Nutzer bei der Installation erlaubt hat.

Welche Infektionswege gibt es?

Einer der Hauptinfektionswege bei Smartphones mit dem Betriebssystem Android ist die Installation von infizierten Apps durch den Benutzer selbst. Hier ist insbesondere die Herkunft der Apps zu berücksichtigen. Während Apps aus kontrollierten, überwachten App-Stores (wie beispielsweise Google Play oder Amazon App-Shop) selten manipulierte Apps enthalten, ist die Gefahr einer Infektion mit manipulierten Apps aus "Unbekannten Quellen" um ein Vielfaches höher. Bei der Installation gewährt der Benutzer selbst den Apps die Berechtigungen, die sie für ihre "Malwarezwecke" benötigen. Von einer Infektion im klassischen Sinn kann somit nicht gesprochen werden.

Demgegenüber steht eine Infektion des Smartphones über Sicherheitslücken im Betriebssystem oder Komponenten (beispielsweise dem Webbrowser). Hierbei wird Programmcode ohne Kenntnis oder Zutun des Benutzers ausgeführt, um das System zu infizieren.Oft wird nach einer initialen Infektion weiterer Programmcode aus dem Internet nachgeladen und unbemerkt installiert.

Das Problem mit den Berechtigungen

Android fragt vor der Installation einer App nach der Bestätung der App-Berechtigungen durch den Benutzer. Über diese Berechtigungen kann die App auf Systemresourcen und Benutzerdaten zugreifen (Beispiele: Kamera, Mikrofon, E-Mail, Fotos, Kontakte). Die Erfahrung hat gezeigt, dass die überwiegende Mehrheit der Benutzer diese Abfrage unreflektiert bestätigt.

Seit Android 6.0 (alias Marshmallow) besteht die Möglichkeit, einmal gewährte Berechtigungen nachträglich wieder zu verändern (beispielsweise Einzelberechtigungen zu entziehen). Benutzer können so die Möglichkeiten von Apps nachträglich wieder beschneiden. Allerdings hat Android 6.0 nach der letzten Google-Erhebung bisher eine Verbreitung von gerade einmal 2,3% (März 2016).

Das Problem mit den Updates

Die Versorgung der Android-Smartphones mit aktuellen (Sicherheits-)Updates stellt ein großes Problem dar. Viele Geräte erhalten weder die neuste Version von Android, noch werden Sicherheitslücken durch Updates geschlossen. Siehe dazu auch Die Lage der IT-Sicherheit in Deutschland 2015 (PDF, 1MB) auf Seite 18: "Stagefright-Lücke in Android: Nachlässiges Update-Verhalten der Hersteller".