Es gibt reichlich Schadsoftware für Android-Smartphones, viel mehr als für jedes andere Mobilbetriebssystem. Getarnt als harmlose Apps finden die Programme ihren Weg auf die Geräte. Dort versuchen sie zum Beispiel, sich Zugriff auf das Mikrofon zu verschaffen, um heimlich Gespräche aufzuzeichnen. Oder sie saugen Nutzerdaten über eine Internetverbindung ab. Voraussetzung dafür ist, dass der Smartphone-Besitzer der App die Zugriffsrechte im Laufe der Installation gewährt. Verlangt eine App ungewöhnlich viele oder für ihre Funktion unnötige Rechte, kann das den Nutzer stutzig machen. Dann bricht er die Installation möglicherweise ab.

Chinesische Forscher von der Universität von Hongkong haben nun einen Ansatz gefunden, diese Warnfunktion zu umgehen. Ihre Schadsoftware kommt ohne Zugangsberechtigungen aus. Gleichzeitig beinhaltet sie einen kreativen Trick, der durchaus amüsant wäre, ginge er nicht auf Kosten der Smartphone-Besitzer: Ihr Schadcode namens VoicEmployer verwickelt das Handy in ein Selbstgespräch und bringt es beispielsweise dazu, eine kostenpflichtige Nummer zu wählen.

Dafür macht sich der Code den virtuellen Assistenten Google Now zunutze. Der ermöglicht Spracheingaben für verschiedene Funktionen, etwa um jemanden anzurufen. Google Now wurde mit Android 4.1 eingeführt, also Mitte 2012. VoicEmployer funktioniert auf allen Geräten, die mit diesem oder einer neueren Version des Betriebssystems laufen.

Schafft es die VoicEmployer-Software auf ein Gerät – zum Beispiel getarnt als harmlose Spiele-App –, beobachtet sie zunächst den Besitzer des Smartphones. Sie stellt fest, wie spät es ist, erkennt die Umgebungslichtverhältnisse, ob das Gerät liegt oder sich bewegt, ob der Bildschirm aktiv ist oder nicht und wie stark der Hauptprozessor ausgelastet ist. Alle diese Sensoren und Daten sind ohne weiteres zugänglich. Ist es zum Beispiel drei Uhr morgens, dunkel, das Gerät liegt still und erscheint nicht aktiv, schließt VoicEmployer daraus, dass der Smartphone-Besitzer schläft. Dann beginnt der eigentliche Angriff.

Die Schadsoftware aktiviert die Google-Spracheingabe, mit der man eine Telefonnummer diktieren kann. Dann lässt sie Google-Funktion "Text-zu-Sprache" eine vorbereitete Nachricht vorlesen, und zwar über den Lautsprecher des Smartphones: "Ruf 1234 – 5678 an" könnte die Nachricht lauten. Dann fragt Google Now nach: "Wollen Sie 1234 – 5678 anrufen?" VoicEmployer wiederum antwortet mit "Ok". Das Smartphone wählt die genannte Nummer. Das kann zum Beispiel eine kostenpflichtige Premiumnummer sein, was die Handyrechnung des Besitzers in die Höhe treiben würde.

Antivirenprogramme finden die Schadsoftware nicht

Es gibt noch eine erweiterte Attacke: VoicEmployer könnte Google Now auch fragen "Was ist meine IP-Adresse?" oder "Wo bin ich gerade?". Die Software ist zudem in der Lage, Meetings aus dem Kalender aufzurufen (und abzusagen) und sie kann E-Mails oder SMS versenden.

In den Tests der Forscher mit Smartphones von Samsung, Motorola und Meizu hat die Spracheingabe jedes Mal funktioniert. Weil Android alle für diesen Angriff nötigen Zugriffsrechte ohne Rückfrage gewährt, gibt es im Betriebssystem auch keinen Abwehrmechanismus. Antivirenprogramme AVG, McAfee, Avira, Norton und andere waren nicht in der Lage VoicEmployer zu entdecken.