Foto: East pop - shutterstock.com
Nachdem Forscher herausgefunden hatten, dass sie Software zum heimlichen Sammeln von Nutzerdaten enthielten, wurden am 25. März Dutzende von Apps aus dem Google Play Store entfernt. Wie aus dem Bericht der Security Researcher Joel Reardon und Serge Egelman in ihrem Firmen-Blog hervorgeht, gehörten zu den mit Spyware verseuchten Apps so beliebte Anwendungen wie Speed Camera Radar (Speed Camera Radar (Blitzer Radar), Al-Moazin Liter (Prayer Times) und WiFi Mouse (Tastatur Trackpad) mit jeweils über zehn Millionen Downloads, sowie QR & Barcode Scanner und Qibla Compass - Ramadan 2022, die jeweils über fünf Millionen Mal heruntergeladen wurden.
Mehr als 60 Millionen Nutzer betroffen
Den beiden Forschern zufolge handelt es sich dabei um die am stärksten in die Privatsphäre eingreifende Software, die sie in sechs Jahren Sicherheitsüberprüfungen von Apps gesehen haben - berichtet das Wall Street Journal. So fanden Reardon und Egelman heraus, dass die Spyware eine große Menge an Daten über jeden Nutzer sammelte, darunter den genauen Standort, persönliche Identifikatoren wie E-Mail und Telefonnummern sowie Daten über Computer und Mobilgeräte in der Nähe.
Die Software kann außerdem Informationen erfassen, die in der Zwischenablage des Smartphones gespeichert sind, zum Beispiel Passwörter. Darüber hinaus ist sie in der Lage, einige Teile des Dateisystems zu scannen, einschließlich der Dateien, die im WhatsApp-Download-Ordner gespeichert sind.
"Eine Datenbank, die die aktuelle E-Mail- und Telefonnummer einer Person mit ihrem genauen GPS-Standortverlauf abbildet, ist besonders beängstigend", schreibt Reardon in seinem Blogbeitrag. So könnte sie leicht dazu verwendet werden, einen Dienst zu betreiben, der den Standortverlauf einer Person allein durch die Kenntnis ihrer Telefonnummer oder E-Mail abfragt - was wiederum dazu genutzt werden könnte, Journalisten, Dissidenten oder politische Rivalen ins Visier zu nehmen.
Spionage im Auftrag von US-Behörden?
Bei der Untersuchung des maliziösen Codes stellten die beiden Forscher fest, dass dieser von Measurement Systems, einem Unternehmen aus Panama, entwickelt worden war. Reardon und Egelman zufolge bezahlte Measurement Systems Entwickler auf der ganzen Welt dafür, dessen SDK in ihre Apps einzubauen, um so heimlich Daten von ihren Nutzern sammeln. Das Unternehmen versprach den Entwicklern zwischen 100 und 10.000 Dollar oder sogar noch mehr pro Monat - je nachdem, wie viele aktive Nutzer sie liefern können.
Hinter Measurement Systems soll dem Bericht zufolge wiederum ein Unternehmen namens Vostrom Holdings stecken - einer Firma mit Sitz in Virginia und Verbindungen zur nationalen Verteidigungsindustrie der USA. Vostrom schließt Verträge mit der US-Regierung über eine Tochterfirma namens Packet Forensics ab, die sich offenbar auf Cyberspionage und Netzwerkschutz für Bundesbehörden spezialisiert hat, wie das WSJ berichtet.
Dies könnte auch erklären, warum Measurement Systems den App-Entwicklern laut WSJ-Recherchen mitteilte, dass es vor allem Daten aus dem Nahen Osten, Mittel- und Osteuropa sowie Asien benötige. Normalerweise seien vor allem Daten aus den USA und Westeuropa gefragt, weil dafür die höchsten Preise von kommerziellen Brokern gezahlt werden.
Gefahr erkannt, Gefahr gebannt?
Wie Egelman und Reardon feststellten, hat das Measurement-Systems-SDK die Datenerfassung über seine Nutzer mittlerweile eingestellt und sich selbst deaktiviert, kurz nachdem die beiden Forscher ihre Erkenntnisse in Umlauf gebracht hatten. Außerdem sind einige der Apps, die ursprünglich die Malware von Measurement Systems enthielten inzwischen - in entschärfter Form - wieder im Play Store zu finden. Eine komplette Liste der (ehemals) befallenen Apps findet sich hier.