Gemeine Malware führt Selbstgespräche: Schadsoftware für Android nutzt Google Now Spracherkennung
Das hat ja nicht lange gedauert, dass Hacker die neue Sprachunterstützung von Google Now zu ihren eigenen Gunsten ausnützen. Aktuell gibt es eine Vielzahl von Schadsoftware-Programmen und Anwendungen für Android Mobile Devices. Diese wurde jetzt um die VoicEmployer App erweitert, die sich genau wie die anderen Schadsoftware-Programme als unscheinbare App tarnt. Einmal installiert, ruft das Smartphone unbeaufsichtigt teure 0800-Nummern an und verursacht Kosten in exorbitanter Höhe. Dabei machen sich die Entwickler der App einen ganz einfachen Trick zunutze und steuern das Smartphone einfach über die Sprachsteuerung von Google Now.
Malware erstellt Nutzerprofil und führt unbeaufsichtigte „Selbstgespräche“
Die Schadsoftware geht dabei äußerst perfide vor. Als Erstes überwacht sie das infizierte Smartphone und erstellt ein Nutzungsprofil. Anhand der Prozessor-Auslastung, der Bildschirmhelligkeit, dem Dämmerungssensor und der Umgebungslautstärke erkennt dieses dann, wann sich der Smartphone-Nutzer und das Smartphone im „Ruhemodus“ befinden, sprich wann der Nutzer schläft und das Smartphone sich im Stand-By befindet. Erkennt die App jetzt, dass sie regelmäßig um drei Uhr morgens „unbeaufsichtigt“ ist und hier der Nutzer anscheinend immer schläft, beginnt die App mit ihrer eigentlichen Attacke. Die Schadsoftware startet Googles Spracheingabe und liest dann mit der „Text-zu-Sprache“-Funktion die entsprechende 0800-Nummer vor. Auf das Kommando „Ruf 0800 123 456 789 an“ fragt Google Now, ob man wirklich die Rufnummer 0800-123 456 789 anrufen will. Die App antwortet mit „Ok“ und die Verbindung wird aufgebaut. Des Weiteren lässt sich die Funktion natürlich erweitern und mit Fragen wie „Was ist meine IP Adresse?“ oder „Wo bin ich?“ der Standort des infizierten Smartphones relativ genau bestimmen.
Verbreitung ausschließlich über inoffizielle App-Stores
Verhindern lässt sich dieser Angriff nur, wenn man das „Selbstgespräch“ des Smartphones mitbekommt, und rechtzeitig stoppt oder (teilweise) durch das Festlegen einer Bildschirmsperre. Dann nämlich kann die Schadsoftware zwar noch teuren Nummern anrufen, aber keine noch teureren SMS-Abo-Dienste abschließen. Nutzer berichten davon, dass eine Sperranimation des Smartphones ausreichen würde, damit keine Premium-Dienste angerufen werden können, andere meinen, dass die Attacke nur im Englisch-sprachigen Raum funktionieren würde, da nur hier das Sprachmodul „everywhere“ verbreitet sei. Ob diese User-Infos zutreffen, konnten wir leider nicht überprüfen. Die hier vorgestellte Malware verbreitet sich ausschließlich über externe App-Stores.
Würde eine personalisierte Spracheingabe helfen?
Wir stellen uns hier die Frage, ob man das Problem nicht einfach über eine personalisierte Spracheingabe lösen könnte. In der Regel steuert ja meistens dieselbe Person das Mobile Device über Sprache. Android müsste diese einfach als Muster erkennen und speichern und bei „fremder“ Spracheingabe automatisch wichtige Funktionen des Mobile Devices sperren. Besonders die Computer-Stimme der Text-zu-Sprache-Funktion müsste das System als Fake erkennen. Der letzte Punkt sollte sich ohne großen Aufwand über ein Update im System implementieren lassen und wir hoffen, dass auch Google auf diese Idee gekommen ist.