35846783440
Malware_Is_Still_Spying_On_You_Even_When_Your_Mobile_Is_Off-Hero

Verfasst von AVG Signal Team
Veröffentlicht am September 14, 2018
Dieser Artikel enthält
Dieser Artikel enthält

    Im Jahr 2015 entdeckte das Mobile Security-Team von AVG eine neue Art von Malware, die dieses Vorurteil in Frage stellen könnte. Es handelt sich um eine Art von Spyware namens Android/PowerOffHijack, die den Herunterfahrvorgang übernimmt, damit Ihr Telefon so aussieht, als wäre es ausgeschaltet. Aber es ist voll funktionsfähig.

    The AVG Virus Lab is made of an advanced team of cybersecurity researchers

    Die Spyware, die erstmals in China aufgetreten ist, verbreitete sich in chinesischen App-Stores und infizierte Tausende von Geräten mit Android-Versionen, die älter als Version 5 (Lollipop) sind. Benutzer müssen der Malware Root-Berechtigungen erteilen, damit diese den Ausschaltvorgang simulieren kann.

    Nach dem Drücken des Ein-/Ausschalters zeigt das Telefon eine authentische Animation zum Herunterfahren an und das Telefon sieht so aus, als wäre es ausgeschaltet. Obwohl der Bildschirm schwarz ist, ist das Telefon tatsächlich noch eingeschaltet.

    Während sich das Telefon in diesem Zustand befindet, kann die Android/PowerOffHijack-Spyware ausgehende Anrufe tätigen, Bilder aufnehmen und viele andere Aufgaben ausführen, ohne Sie zu benachrichtigen.

    Wie konnte das passieren?

    Analyse des Android-Shutdown-Prozesses

    Wenn auf Android-Geräten der Netzschalter gedrückt wird, ruft die Malware die Funktion interceptKeyBeforeQueueing auf. interceptKeyBeforeQueueing prüft, ob der Ausschaltknopf gedrückt ist, und durchläuft dann den folgenden Prozess.

    The interceptKeyBeforeQueueing function in the Android mobile OS.Wenn der Netzschalter losgelassen wird, wird InterceptPowerKeyUp aufgerufen, wodurch ein weiterer lauffähiger Prozess ausgelöst wird.

    Runnable code triggered by the interceptPowerKeyUp function in the Android mobile OS.Gemäß dem obigen Codeschnipsel zeigt der Schalter LONG_PRESS_POWER_GLOBAL_ACTIONS an, dass einige Aktionen nach dem Loslassen des Netzschalters ausgeführt werden. showGlobalActionsDialog öffnet einen Dialog, in dem Sie Ihr Telefon ausschalten, stumm schalten oder den Flugmodus aktivieren können.

    Power off options within Android's shutdown procedure.Wenn Sie die Option Ausschalten wählen, ruft die Malware mWindowManagerFuncs.shutdown auf.

    The mWindowManagerFuncs.shutdown interface object in the Android mobile OS.

    Aber mWindowManagerFuncs ist ein Schnittstellenobjekt, das tatsächlich die ShutDownThread-Shutdown-Funktion aufruft. ShutDownThread.shutdown ist der tatsächliche Beginn des Shutdown-Prozesses. Der Befehl schaltet zuerst den Funkdienst ab und ruft den Power-Manager-Dienst auf, um den Strom abzuschalten.

    Schließlich wird im Power-Manager-Dienst eine native Funktion aufgerufen, um den Strom abzuschalten.

    The power manager service in the Android mobile OS.The native shutdown function in the Android mobile OS.Da mWindowManagerFuncs.shutdown die Funkdienste des Telefons deaktiviert, müsste jede Malware, die darauf abzielt, den Ausschaltvorgang zu kapern, eingreifen, bevor diese Funktion aktiviert wird. Sehen wir uns an, wie Android/PowerOffHijack dies bewerkstelligt.

    Analyse der Malware

    Zunächst beantragt Android/PowerOffHijack die Root-Erlaubnis. Nachdem die Spyware diese erhalten hat, injiziert sie den system_server-Prozess und hängt das mWindowManagerFuncs-Objekt ein.

    An diesem Punkt sehen Sie, wenn Sie den Einschaltknopf drücken, einen gefälschten Dialog anstelle der authentischen Android-Version. Und wenn Sie Ausschalten wählen, erhalten Sie eine gefälschte Abschaltanimation, wobei der Strom eingeschaltet, der Bildschirm aber ausgeschaltet bleibt.

    A portion of code demonstrating how Android/PowerOffHijack takes over an Android device's shutdown process.

    Schließlich müssen auch einige System-Broadcast-Dienste eingehängt werden, damit Ihr Mobiltelefon so aussieht, als sei es wirklich ausgeschaltet.

    Sehen wir uns einige Beispiele an:

    Aufzeichnen eines Anrufs

    Code showing how the Android/PowerOffHijack Android spyware records a call

    Übertragen privater Nachrichten

    Code showing how the Android/PowerOffHijack Android spyware sends messages

    Kampf gegen Spyware mit AVG AntiVirus für Android

    Selbst die hinterhältigste Spyware wie Android/PowerOffHijack ist AVG AntiVirus für Android nicht gewachsen. Unser umfassendes mobiles Sicherheitstool scannt Ihr Gerät, um Malware zu erkennen und zu entfernen, und schützt Sie auch vor zukünftigen Angriffen. Schützen Sie Ihre Geräte vor Spyware, Viren und anderer Malware. Ihre Daten schützen Sie mit dem integrierten Anti-Theft Phone Tracker zudem auch vor Dieben aus der realen Welt.

    Latest security articles

    Was sind biometrische Daten und wie werden sie verwendet?

    Alles über die Firewall: Bedeutung, Zweck und Typen

    So blockieren Sie Spam-Anrufe auf iPhones, Android-Smartphones und Festnetzgeräten

    Was ist ein Honeypot? Cybersicherheit – die Tricks und Fallen kurz erklärt

    Was Sie tun können, wenn Sie ein Smartphone mit Google Authenticator verlieren

    So öffnen, erstellen und konvertieren Sie RAR-Dateien

    Was ist eine Sicherheitsverletzung und wie kann man sich davor schützen?

    Was ist Venmo? Ist es sicher und wie funktioniert es?

    Was ist Rooting unter Android?

    Leitfaden zu E-Mail-Spam: So stoppen Sie den Empfang von Spam und anderer Junk-E-Mails

    Ist PayPal sicher? 10 Tipps für Käufer und Verkäufer

    Was ist die Blockchain und wie funktioniert sie?

    Schutz für Ihr Android-Gerät mit AVG AntiVirus

    Kostenlose Installation

    Schutz für Ihr iPhone mit AVG Mobile Security

    Kostenlose Installation
    Sicherheitstipps
    Sicherheit
    AVG Signal Team
    14-09-2018