Die meisten von uns haben ein oder zwei Filme gesehen, in denen Hacker Mobilgeräte aufspüren und ausspionieren, obwohl die Telefone ausgeschaltet sind. Und wie bei den meisten Dingen in Spionagefilmen missachten wir diese Idee als reine Fiktion.
Im Jahr 2015 entdeckte das Mobile Security-Team von AVG eine neue Art von Malware, die dieses Vorurteil in Frage stellen könnte. Es handelt sich um eine Art von Spyware namens Android/PowerOffHijack, die den Herunterfahrvorgang übernimmt, damit Ihr Telefon so aussieht, als wäre es ausgeschaltet. Aber es ist voll funktionsfähig.
Die Spyware, die erstmals in China aufgetreten ist, verbreitete sich in chinesischen App-Stores und infizierte Tausende von Geräten mit Android-Versionen, die älter als Version 5 (Lollipop) sind. Benutzer müssen der Malware Root-Berechtigungen erteilen, damit diese den Ausschaltvorgang simulieren kann.
Nach dem Drücken des Ein-/Ausschalters zeigt das Telefon eine authentische Animation zum Herunterfahren an und das Telefon sieht so aus, als wäre es ausgeschaltet. Obwohl der Bildschirm schwarz ist, ist das Telefon tatsächlich noch eingeschaltet.
Während sich das Telefon in diesem Zustand befindet, kann die Android/PowerOffHijack-Spyware ausgehende Anrufe tätigen, Bilder aufnehmen und viele andere Aufgaben ausführen, ohne Sie zu benachrichtigen.
Wie konnte das passieren?
Wenn auf Android-Geräten der Netzschalter gedrückt wird, ruft die Malware die Funktion interceptKeyBeforeQueueing auf. interceptKeyBeforeQueueing prüft, ob der Ausschaltknopf gedrückt ist, und durchläuft dann den folgenden Prozess.
Wenn der Netzschalter losgelassen wird, wird InterceptPowerKeyUp aufgerufen, wodurch ein weiterer lauffähiger Prozess ausgelöst wird.
Gemäß dem obigen Codeschnipsel zeigt der Schalter LONG_PRESS_POWER_GLOBAL_ACTIONS an, dass einige Aktionen nach dem Loslassen des Netzschalters ausgeführt werden. showGlobalActionsDialog öffnet einen Dialog, in dem Sie Ihr Telefon ausschalten, stumm schalten oder den Flugmodus aktivieren können.
Wenn Sie die Option Ausschalten wählen, ruft die Malware mWindowManagerFuncs.shutdown auf.
Aber mWindowManagerFuncs ist ein Schnittstellenobjekt, das tatsächlich die ShutDownThread-Shutdown-Funktion aufruft. ShutDownThread.shutdown ist der tatsächliche Beginn des Shutdown-Prozesses. Der Befehl schaltet zuerst den Funkdienst ab und ruft den Power-Manager-Dienst auf, um den Strom abzuschalten.
Schließlich wird im Power-Manager-Dienst eine native Funktion aufgerufen, um den Strom abzuschalten.
Da mWindowManagerFuncs.shutdown die Funkdienste des Telefons deaktiviert, müsste jede Malware, die darauf abzielt, den Ausschaltvorgang zu kapern, eingreifen, bevor diese Funktion aktiviert wird. Sehen wir uns an, wie Android/PowerOffHijack dies bewerkstelligt.
Zunächst beantragt Android/PowerOffHijack die Root-Erlaubnis. Nachdem die Spyware diese erhalten hat, injiziert sie den system_server-Prozess und hängt das mWindowManagerFuncs-Objekt ein.
An diesem Punkt sehen Sie, wenn Sie den Einschaltknopf drücken, einen gefälschten Dialog anstelle der authentischen Android-Version. Und wenn Sie Ausschalten wählen, erhalten Sie eine gefälschte Abschaltanimation, wobei der Strom eingeschaltet, der Bildschirm aber ausgeschaltet bleibt.
Schließlich müssen auch einige System-Broadcast-Dienste eingehängt werden, damit Ihr Mobiltelefon so aussieht, als sei es wirklich ausgeschaltet.
Sehen wir uns einige Beispiele an:
Selbst die hinterhältigste Spyware wie Android/PowerOffHijack ist AVG AntiVirus für Android nicht gewachsen. Unser umfassendes mobiles Sicherheitstool scannt Ihr Gerät, um Malware zu erkennen und zu entfernen, und schützt Sie auch vor zukünftigen Angriffen. Schützen Sie Ihre Geräte vor Spyware, Viren und anderer Malware. Ihre Daten schützen Sie mit dem integrierten Anti-Theft Phone Tracker zudem auch vor Dieben aus der realen Welt.
Privatsphäre | Schwachstelle melden | Sicherheitsabteilung kontaktieren | Lizenzvereinbarungen | Erklärung zur modernen Sklaverei | Cookies | Erklärung zu Bedienhilfen | Keine Veräußerung meiner Daten | | Impressum | Alle Marken Dritter sind Eigentum der jeweiligen Inhaber.
