Sogenannte Schad-Apps unter Android können sich als legitime App tarnen und weitere Berechtigungen anfordern. Die genannte Sicherheitslücke Strandhogg wird bereits aktiv genutzt und eignet sich beispielsweise für Banking-Trojaner. Ein Patch gibt es derzeit nicht.
Betroffen sind die Android-Versionen 6 bis 10. Die Lücke wird bereits aktiv ausgenutzt, um den Banktrojaner Bankbot zu installieren. Entdeckt wurde die Lücke von den Sicherheitsfirmen Promon und Lookout und haben ihr den Namen Strandhogg – nach einer Wikinger-Taktik gegeben, mit der Küstengebiete überfallen wurden um damit Lösegeld für gefangene Menschen zu fordern.
Die Schad-App taskAffinity kann seit der Android Version 6 auf eine oder mehrere ihrer Aktivitäten setzen, die dem Namen einer anderen App entspricht, um anschließend die aktivität einer Ziel-App zu übernehmen. Beim Antippen des Icons der Ziel-App wird die Aktivität der Schad-App gestartet. Ein Login-Bildschirm lässt sich auf diese Weise im Stil der Ziel-App anzeigen, um so die vom Nutzer eingegebenen Login-Daten abzufangen.
Die Schad-App kann auch nach Berechtigungen fragen um Zugriff auf SMS, Standort, Kamera oder Mikrofon zu erhalten. Wird diese vom Nutzer erteilt, kann die Schad-App den Nutzer mit den Berechtigungen überwachen. besteht Zugriff auf die SMS und wurden beispielsweise zuvor die Login-Daten einer Bank-App abgegriffen, kann ein Angreifer Überweisungen triggern und mit der ausgelesenen mTAN bestätigen.
Nutzer können einen solchen Angriff nur schwer erkennen. Laut Promon können Nutzer allerdings auf verschiedene Auffälligkeiten achten. Verdächtig sei es, wenn eine App, bei der ein Nutzer bereits angemeldet ist und erneut nach Zugangsdaten fragt oder wenn eine App nach einer Berechtigung frage, die der Nutzer nicht benötigt. Tippfehler oder nicht reagierende Buttons in der App-Oberfläche können ebenfalls ein Hinweis auf einen Angriff sein.
Bereits 36 Apps konnte die Sicherheitsfirma Lookout ausfindig machen, die die Sicherheitslücke nutzen. Allerdings nennt die Sicherheitsfirma die betroffenen Apps nicht. Zum Teil seien auch diese im Google Play Store zu finden gewesen, aber hätten die Schadsoftware nicht enthalten, sondern erst nach der Installation nachgeladen – sogenannte Dropper-Apps. Nach einem Hinweis hat Google die betroffenen Apps aus dem Play Store gelöscht. Bankbot war in der Vergangenheit immer wieder im Play Store aufgetaucht, die es auf die Zugangsdaten von Bank-Apps und mTANs abgesehen hat.