Weltweit sind immer noch viel zu viele der momentan aktive Android-Smartphone mit einer Version des Betriebssystems ausgestattet, die völlig veraltet und dementsprechend anfällig für alle erdenkliche Malware ist. Während der Marktanteil von Android 6.x bei ca. 30% stagniert und Android 7 von vielen Herstellern noch gar nicht angeboten wird, kommen Android Lollipop, KitKat und frühere Android-Versionen immer noch auf einen gemeinsamen Marktanteil von fast 60 Prozent.

Diesen Umstand nutzten Angreifer, um bisher 14 Millionen Smartphones mit einer Schadsoftware namens “CopyCat” zu infizieren. Von CopyCat betroffen sind Android-Smartphones und Android-Tablets mit Android 5 und früher. Die Malware nutzt nach Angaben der Security-Firma Checkpoint insgesamt sechs altbekannte Sicherheitslücken aus, die mit Android 5.1 geschlossen wurden.

Der Trick der Angreifer ist denkbar simpel. Sie bieten über diverse Download-Portale manipulierte Kopien beliebter Apps an, die sich mit den veralteten Smartphones nicht mehr im regulären Google Play Store downloaden lassen. Im Code dieser Apps sind die entsprechenden Exploits versteckt, wovon der Nutzer in der Regel gar nichts mitbekommt. Die Apps können sich Root-Rechte verschaffen und auf diesem Wege die volle Kontrolle über andere Apps übernehmen, die sich auf dem Smartphone befinden. Insgesamt 8 der 14 Millionen Smartphones sollen bereits derart umfassend manipuliert worden sein.

Weiterlesen: Klickbetrug bringt “Methbot”-Machern ~5 Millionen US-Dollar pro Tag

Lukrativ wird der Angriff, weil die Hacker kurzerhand die in vielen werbefinanzierten Apps hinterlegten Werbe-IDs der ursprünglichen Programmierer kapern und diese durch ihre eigenen Werbe-IDs ersetzen. Nach Schätzungen von CheckPoint haben die Hintermänner in den zurückliegenden zwei Monaten auf diese Weise rund 1,5 Millionen Dollar eingenommen.

Die Masche erinnert entfernt an die Malware “Judy”, die insgesamt 35 Millionen Smartphones befallen haben soll und die betroffenen Android-Geräte zu Teilnehmern eines riesigen Klicknetzwerks macht. Während sich die offenbar von Kiniwini stammende Malware über den offiziellen Play Store rasant verbreiten konnte, hat Google bei CopyCat nach frühen Hinweisen schnell reagiert und den kompletten offiziellen Store gegen manipulierte Apps abgesichert.

Ein von CopyCat betriebener Server befindet sich nachweislich in China, dort vermutet CheckPoint auch die Hintermänner. Diese sind getreu dem Motto “Sch… nicht da, wo Du isst” allerdings so schlau, sich nicht mit den chinesischen Behörden anzulegen und haben in ihrem Schadcode eine Lokalisierungsabfrage eingebaut. Befindet sich ein infiziertes Android-Smartphone in China, wird das Tool deaktiviert. Die meisten tatsächlich aktiv infizierten Geräte konnten die Sicherheitsexperten dementsprechend in Indien, in Pakistan, in Bangladesh, in Indonesien, in kleineren Ländern Ländern sowie in Kanada, Nord- und Südamerika ausmachen, während Europa noch kaum betroffen zu sein scheint.

Ebenso unklar wie bemerkenswert bleibt auch in diesem Fall, wieso die angeblich ausgefeilten Sicherheitsmechanismen der betroffenen Werbenetzwerke nichts von dem Betrug mitbekommen haben. Wenn “plötzlich” mehrere Millionen Werbe-IDs von ehemals erfolgreichen Programmieren wesentlich weniger Einnahmen generieren und andere Werbe-IDs im Gegenzug siebenstellige Umsätze erreichen, dann müssten in den Tracking-Systemen eigentlich alle Lampen angehen.

Quelle checkpoint.com