Überwachungs-Apps im Handy aufspüren und beseitigen

Überwachungs-Apps aufspüren und beseitigen

Praxis & Tipps | Praxis

Haben Sie den Verdacht, dass Ihr Smartphone von einer Spionage-Software infiziert wurde? Unsere Tipps helfen Ihnen, Überwachungs-Apps zu erkennen und zu entfernen.

Befürchten Sie, dass Ihr Smartphone infiziert ist? Wir helfen Ihnen, etwaige Schädlinge aufzuspüren und zu beseitigen.

Zunächst einmal sollten Sie prüfen, ob Ihr Handy gerootet ist, denn einem gerooteten Gerät können Sie nicht mehr vertrauen – auch dann nicht, wenn Sie den Root aus gutem Grund irgendwann selbst durchgeführt haben. Auf gerooteten Geräten können Angreifer ein Spionage-Tool so gut verstecken, dass Sie es mit einfachen Handgriffen nicht entdecken.

Durchsuchen Sie Ihr Gerät unter „Einstellungen/Apps“ deshalb nach Tools, die klassischerweise zum Rooten verwendet werden. Dazu zählen unter anderem SuperSu, BusyBox oder KingRoot. Außerdem überprüfen Sie mit der App RootChecker direkt, ob Ihr Handy gerootet ist.

Bei gerooteten Geräten haben Sie zwei Möglichkeiten: Entweder, Sie setzen Ihr Smartphone wieder auf die Werkseinstellung zurück, oder Sie reparieren das gerootete System, was jedoch mit einem hohen Aufwand verbunden ist. Dabei sollten Sie jemanden hinzuziehen, der mit gerooteten Systemen Erfahrung hat. Einen Einblick in mögliche Vorgehensweisen gibt der c't-Artikel Android-Trojaner seziert.

Wir gehen im Folgenden also davon aus, dass Ihr Android-Handy nicht gerootet ist.

Diese Checkliste hilft Ihnen dabei, mögliche Spionage-Angriffe auf Ihrem Android-Smartphone zu entdecken.

Geräteadministrator-Apps bekommen unter Android besonders viele Zugriffsrechte, deswegen sollten Sie diese Apps überprüften. In den Einstellungen unter „Sicherheit & Standort / Apps zur Geräteverwaltung“ (Achtung: in einige Smartphones heißen die Menüs für die Geräteadministratoren leicht abweichend) sehen Sie im Normalfall nur „Mein Gerät finden“ und „Google Pay“, möglicherweise auch das Mobile Device Management Ihrer Firma oder eine Mail-App. Sollten Sie hier jedoch andere Apps finden, könnte dies auf eine Infektion Ihres Gerätes hindeuten.

Deaktivieren Sie in diesem Fall diese unbekannten Geräteadministratoren und deinstallieren Sie die dazugehörige App. Welche das ist, können Sie leider nicht immer eindeutig feststellen, denn eine App darf ihren Eintrag in der Geräteadministratoren-Liste beliebig benennen.

Sie sollten sich auch die Android-Sicherheits-Features genauer ansehen. Play Protect prüft alle Apps auf dem Smartphone und funktioniert auch unter älteren Android-Versionen. Sie finden Play Protect am Einfachsten in der App Play Store im Hamburger-Menü (die drei horizontalen Linien oben links).

Die Option „Gerät auf Sicherheitsbedrohung prüfen“ muss aktiviert sein. Auch die „Erkennung schädlicher Apps verbessern“ sollte eingeschaltet sein. Hier sollten Sie unbedingt prüfen, wie lange der letzte Scan von Play Protect her ist: Ist er länger als ein paar Tage her, kann das auf einen Spionage-Angriff hindeuten.

Führen Sie nun einen Scan aller Apps durch; hierbei muss der Internet-Zugang aktiviert sein. Play Protect erkennt beispielsweise die Spionage-Tools mSpy und FlexiSpy, die dann komplett deinstalliert werden können.

Androids eingebauter Virenscanner darf nicht deaktiviert sein (links), die letzte Überprüfung sollte nicht zu weit zurückliegen. Der Scanner erkennt nämlich durchaus gängige Spionage-Apps (rechts), auch wenn sie sich als „Update Service“ verstecken.

Angreifer müssen die Spionage-Tools im Allgemeinen manuell auf Ihrem Gerät installieren, denn Googles Virenscanner würde sie entdecken, weshalb die Apps im Play Store im Großen und Ganzen schädlingsfrei sind. Zur manuellen Installation muss der Angreifer zuerst die Sperre abschalten, die Ihr Gerät vor Apps aus Fremdquellen schützt. Diese Sperre finden Sie bei älteren Geräten in den Einstellungen unter „Sicherheit/Unbekannte Herkunft“.

Bei neueren Smartphones gibt es keine zentrale Sperre mehr, sondern es ist einzelnen Apps wie FileManager, Dropbox oder Browsern erlaubt, aus Fremdquellen zu installieren. In den Einstellungen unter „Apps & Benachrichtigungen/Spezieller App-Zugriff/Unbekannt“ finden Sie eine Liste der Apps: Es sollte bei allen App „nicht zulässig“ stehen. Wenn Sie in der Liste eine App finden, bei der Fremdquellen zulässig sind, ist dies ein Indiz für einen Spionage-Angriff. In diesem Fall gucken Sie sich die Quelle der App genauer an. Neuere Android-Versionen zeigen dies in den Einstellungen unter „App-Benachrichtigungen“ in der App-Detailansicht an. Die Quellen „Von Google Play Store geladene App“ oder „Von Galaxy Apps geladene App“ sind meist unbedenklich, eine „vom Paket-Installer geladene App“ ist dagegen sehr verdächtig. Diese App sollten Sie löschen.

Wenn Sie ganz sichergehen wollen, dass Ihr Smartphone von keiner Spionage-Software befallen ist, sollten Sie alle installierten Apps kontrollieren. Öffnen Sie dazu in den Einstellungen unter „App-Berechtigungen“ die Liste aller Apps und prüfen Sie, welche Apps auf persönliche Daten zugreifen dürfen. Unter den App-Berechtigungen sollten neben Kontakte, SMS, Kamera und Standort keine Apps auftauchen, die Sie nicht selbst installiert haben. Unbekannte Apps sollten Sie deshalb deinstallieren. Notieren Sie zuvor stets den Paketnamen, um Ihre Arbeiten nachvollziehen zu können. Nach diesem Prinzip können Sie die Liste aller installierten Apps durchgehen, um verdächtige oder unbekannte Apps aufzuspüren.

Sollten Sie von einer Spionage-Software befallen sein, empfiehlt es sich, nach der Säuberung des Geräts auch die Passwörter aller Dienste zu ändern. Unter https://myaccount.google.com/device-activity können Sie einsehen, welche Geräte Ihren Google-Account nutzen und wann zuletzt darauf zugegriffen wurde. Entfernen Sie verdächtige Geräte aus dieser Liste und ändern Sie Ihr Passwort. Gleiches gilt für andere Cloud-Dienste und Banking-Apps, die Sie nutzen.

Besonders aufpassen müssen Sie bei Messenger-Diensten: Einige, darunter WhatsApp, Signal und Threema, können Sie auch über Ihren Browser nutzen. Auch wenn Sie selbst das nie genutzt haben, könnte ein Angreifer diese Option eingeschaltet haben. Dieser Browser-Zugriff kann auch nach Säuberung des Handys aktiv bleiben, weshalb Sie ihn explizit entfernen müssen. Sie finden ihn in den Apps unter Menüpunkten wie „WhatsApp Web“ oder „Threema Web“ – löschen Sie auch hier die Zugriffe. Sofern Sie hier einen Zugriff sehen, ohne dass Sie selbst ihn eingerichtet haben, ist das ein ganz klarer Hinweis auf einen Angriff.

Wenn nichts mehr hilft oder Sie noch Zweifel an der Sicherheit Ihres Smartphones haben, hilft nur noch das Zurücksetzen auf die Werkseinstellung. Zuvor sollten Sie Ihre persönlichen Daten (Fotos, Adressen und Termine etc.) sichern und die wichtigen Elemente Ihrer Konfiguration notieren. In den Einstellungen können Sie Ihr Handy unter „Systeme/Optionen zurücksetzen/Alle Daten löschen“ resetten, auf einigen Systemen finden Sie den Reset unter „Allgemeine Verwaltung/Zurücksetzen/Auf Werkeinstellungen zurücksetzen“ oder ähnlich genannt.

Anschließend müssen Sie Ihr Handy neu einrichten. Wichtig: Installieren Sie es als neues Gerät ein und nicht etwas als Backup, ansonsten könnte es sein, dass Ihr Gerät aus dem Backup erneut infiziert wird. Und: Ändern Sie Ihre Passwörter erst nach dem Reset, damit ein möglicherweise installierter Keylogger nicht die neuen Passwörter erfährt.

Diese Checkliste hilft Ihnen Spionage-Angriffe bei Geräten mit iOS zu enttarnen.

iPhones lassen sich zwar deutlich schwieriger ausspionieren als Android-Geräte, doch sollte man bei Verdacht dennoch einem möglichen Spionage-Angriff nachgehen. Im ersten Schritt prüfen Sie dazu, ob Ihr iPhone per Jailbreak manipuliert wurde, denn ein Jailbreak setzt wichtige Sicherheitsmechanismen außer Kraft. Wenn Ihr iPhone die aktuelle iOS-Version nutzt, brauchen Sie keinen Angriff per Jailbreak befürchten – derzeit gibt es keinen öffentlich verfügbaren Jailbreak ab iOS 11.4. Welche iOS-Version gerade aktuell ist, dokumentiert Apple auf den Seiten zu Sicherheitsupdates.

Apps wie die der Barclaycard verweigern den Dienst, wenn sie einen Jailbreak erkennen.

Nutzen Sie ein iPhone mit einer älteren iOS-Version, sollten Sie die typischen Anzeichen für einen Jailbreak überprüfen – beispielsweise mit den Apps Cydia, Electra und Pangu. Einige Anwendungen wie Online-Banking-Apps testen das Gerät beim Start und verweigern den Dienst im Falle eines Jailbreak. Ein weiteres Indiz für einen Angriff ist der Akkuverbrauch, denn eine dauerhaft aktive Spionage-App frisst Strom und auch Datenvolumen.

Insgesamt sind iPhones relativ sicher vor Spionage-Überfällen per Jailbreak. Der zentrale Schlüssel zu den Daten ist hier nicht das Handy selbst, sondern der Apple-Account des Besitzers. Aus diesem Grund holt kommerzielle Spionage-Software sich die Daten aus der iCloud.

Wenn Sie unsere Tipps beherzigen und die Checklisten zum Prüfen von Android- und iOS-Geräten durchgegangen sind, sollte Ihr Smartphone vor den meisten Spionage-Apps sicher sein. Zusätzliche Hinweise auf einen Spionageangriff mit bereits bekannter Spyware finden Sie die folgende Tabelle.

Spyware Hinweise auf eine Infektion
mSpy Wählen von #000* öffnet das User-Interface von mSpy
FlexiSpy FSXGAD_\<versionsnummer>.apk auf der SD-Karte; in /data/app/ liegt com.mobilefonex.mobilebackup-1.apk; http://djp.cc bleibt oft im Browserverlauf zurück; Wählen von *#900900900 öffnet das User-Interface von FlexiSpy
PhoneSheriff hinterlässt alle abgefangenen Daten und EInstellungen unter /data/com.studio.sp2/
MobileSpy Wählen von #123456789* öffnet das User-Interface von MobileSpy
OmniRAT erzeugt Geräte-Administrator com.android.engine.Deamon

(jow)

Kommentare

Kommentare lesen (143 Beiträge)

Anzeige