Oblivion: Neue Android-Malware umgeht Sicherheitsschichten auf Samsung, Xiaomi und Co.

Ein neu aufgetauchter Android-Trojaner namens Oblivion wird offen in Hacking-Foren vermarktet und richtet sich gegen Geräte mit Android 8 bis 16 – damit gegen nahezu jedes heute aktiv genutzte Android-Smartphone. Sicherheitsforscher des Unternehmens Certo haben das Tool eingehend analysiert und kommen zu dem Schluss, dass es sich nicht um eine weitere recycelte Schadsoftware handelt, sondern um eine von Grund auf neu entwickelte Lösung. Was Oblivion von vergleichbaren Tools abhebt, ist weniger eine einzelne Funktion als vielmehr das Zusammenspiel mehrerer Komponenten: automatisierte Umgehung von Systemberechtigungen, versteckte Fernsteuerung, tiefe Verankerung im System und eine Benutzeroberfläche, die den Einsatz auch ohne technische Vorkenntnisse ermöglicht.

Geschäftsmodell und Verbreitung

Oblivion wird nicht als einmalig käufliches Produkt angeboten, sondern als fortlaufend abonnierter Dienst. Käufer erhalten keinen Zugang zum Quellcode, sondern bezahlen für die zeitlich begrenzte Nutzung des Tools über ein webbasiertes Panel. Die Preisstruktur ist im zugehörigen Forumspost offen einsehbar und richtet sich offenbar an ein breites Publikum: Ein Monatsabonnement kostet 300 US-Dollar, drei Monate sind für 700 US-Dollar erhältlich, sechs Monate für 1.300 US-Dollar, ein Jahresabo für 1.900 US-Dollar. Wer dauerhaften Zugang möchte, zahlt einmalig 2.200 US-Dollar.

Der Verkäufer grenzt Oblivion ausdrücklich von den zahlreichen recycelten RATs ab, die den Untergrundmarkt dominieren, und positioniert es als eigenständige Neuentwicklung. Nach eigenen Angaben wurde das Tool vor der Veröffentlichung über vier Monate hinweg in realen Testumgebungen betrieben – ohne Abstürze und ohne verhaltensbasierte Erkennung durch Sicherheitssoftware. Certo hat das vom Verkäufer veröffentlichte Demonstrationsvideo sowie die begleitenden technischen Behauptungen im Detail geprüft und die zentralen Funktionen als plausibel eingestuft.

Das Tool wird nicht im Darknet, sondern offen in einem Hacking-Forum im sogenannten Clear Web beworben – inklusive vollständiger Produktbeschreibung, Preisliste und Videodemo. Das senkt die Einstiegshürde für potenzielle Käufer erheblich.

Infektion: Builder, Dropper und Social Engineering

Der erste Schritt einer Oblivion-Infektion beginnt nicht mit einer technischen Schwachstelle, sondern mit einer überzeugend gestalteten Täuschung. Das Tool enthält einen integrierten APK-Builder, der es Angreifern ermöglicht, eine individuell konfigurierte Schad-App zu erstellen, ohne eine einzige Zeile Code schreiben zu müssen. Über das webbasierte Panel lassen sich App-Name, Symbol und Betriebsmodus frei wählen – sodass die Anwendung etwa als „Google Services“ oder eine andere systemnahe App erscheint. Ein Stealth-Modus erzeugt dabei eine App gänzlich ohne sichtbare Benutzeroberfläche, die nach der Installation still im Hintergrund arbeitet.

Ergänzend dazu enthält Oblivion einen sogenannten Dropper-Builder – ein Werkzeug, das dazu dient, die eigentliche Schadsoftware überhaupt erst auf das Zielgerät zu bringen. Im Demonstrationsvideo ist zu sehen, wie der Dropper eine gefälschte Google-Play-Update-Aufforderung generiert: komplett mit einer täuschend echten App-Darstellung, einer Benachrichtigung mit dem Hinweis „Update erforderlich“ und einer Schritt-für-Schritt-Anleitung, die das Opfer dazu verleitet, die Installation aus unbekannten Quellen manuell zu erlauben.

Diese Social-Engineering-Methode ist im Grunde bekannt – ihre Umsetzung in Oblivion ist jedoch ungewöhnlich ausgefeilt und auf verschiedene Gerätemarken und Systemoberflächen zugeschnitten. Legitime Android-Updates werden grundsätzlich nicht über derartige Aufforderungen außerhalb des Play Stores eingespielt.

Berechtigungsumgehung: Der Accessibility Service als Angriffsfläche

Nach der Installation setzt Oblivion eine Funktion ein, die aus sicherheitstechnischer Perspektive den eigentlichen Kern des Tools darstellt: Die Malware erteilt sich selbst Zugriff auf den Android Accessibility Service – vollständig automatisiert und ohne jede Nutzerinteraktion.

Der Accessibility Service wurde ursprünglich entwickelt, um Menschen mit Einschränkungen die Bedienung ihres Smartphones zu erleichtern. Er erlaubt es einer App, Bildschirminhalte auszulesen, Tipper und Wischgesten zu simulieren, Text während der Eingabe abzufangen und Systemmeldungen – darunter auch Berechtigungsdialoge – zu unterdrücken, bevor der Nutzer sie überhaupt zu Gesicht bekommt. In den falschen Händen ist diese Schnittstelle damit eine der weitreichendsten Zugriffsmöglichkeiten, die das Android-System bietet.

Google hat die Nutzung dieser Schnittstelle durch Drittanbieter-Apps in aufeinanderfolgenden Android-Versionen schrittweise eingeschränkt. Genau deshalb ist es technisch relevant, dass Oblivion diese Einschränkungen laut Herstellerangaben und Demonstrationsvideo auch unter Android 15 vollständig umgeht – und der Verkäufer die gleiche Funktionalität für Android 16 beansprucht. Darüber hinaus soll das Tool mit den angepassten Systemoberflächen der wichtigsten Gerätehersteller kompatibel sein: Samsung (One UI), Xiaomi (MIUI/HyperOS), OPPO (ColorOS), Honor (MagicOS) und OnePlus (OxygenOS). Diese Marken repräsentieren gemeinsam die große Mehrheit der weltweit genutzten Android-Geräte.

Fernsteuerung: Hidden VNC und Screen Reader

Zur aktiven Fernsteuerung infizierter Geräte nutzt Oblivion eine Implementierung von Hidden VNC (HVNC). Während reguläres VNC dem Nutzer des Zielgeräts sichtbar wäre, läuft HVNC in einer vollständig verborgenen, parallelen Sitzung – der Angreifer hat interaktiven Vollzugriff auf das Gerät, ohne dass der Nutzer davon etwas mitbekommt.

Um diese versteckte Aktivität zu verschleiern, blendet Oblivion gleichzeitig einen täuschend echten Overlay-Bildschirm ein – etwa eine Animation mit der Meldung „System wird aktualisiert …“. Dieser Overlay ist anpassbar und kann so gestaltet werden, dass er einem HyperOS-Update, einem Antiviren-Scan oder einem anderen plausiblen Ladevorgang ähnelt. Für das Opfer sieht es aus, als würde das Gerät gerade einen Systemvorgang durchführen – tatsächlich hat der Angreifer in diesem Moment vollständige Kontrolle.

Ein zusätzlicher Screen-Reader-Modus soll dabei gezielt die Schutzmechanismen gegen Bildschirmaufnahmen umgehen, die viele Banking-Apps und Krypto-Wallets implementieren, um unerlaubte Screenshots zu verhindern. Damit können auch Inhalte abgegriffen werden, die reguläre Aufnahmemethoden blockieren würden.

Datenerfassung: Zugriff auf Kommunikation, Eingaben und Systemfunktionen

Die eigentliche Schadwirkung entfaltet Oblivion über eine umfassende Datenerfassungskomponente, die auf die Interessen finanziell motivierter Angreifer ausgerichtet ist. SMS-Nachrichten können gelesen, gesendet, blockiert und abgefangen werden – einschließlich der Einmalcodes, die für Zwei-Faktor-Authentifizierungen genutzt werden. Push-Benachrichtigungen lassen sich auslesen und vor dem Nutzer verbergen, auch wenn sie von Banking-Apps stammen.

Ein integrierter Keylogger zeichnet sämtliche Tastatureingaben in Echtzeit auf – Passwörter, PINs und alle weiteren Eingaben. Über ein dediziertes Verwaltungsfenster sind Dateien und installierte Anwendungen zugänglich; einzelne Apps können aus der Ferne gestartet oder deinstalliert werden, ohne dass der Nutzer dies bemerkt. Besonders weitreichend ist die Funktion zur automatischen Geräteentsperrung: Oblivion kann das Gerät mithilfe einer zuvor erfassten PIN, einem Passwort oder einem Entsperrmuster eigenständig entsperren – auch nach einem Neustart.

Persistenz: Selbstschutz, Verschleierung und Infrastruktur

Der wohl aufwendigste Teil der Entwicklung scheint in die Anti-Entfernungsmechanismen geflossen zu sein. Oblivion blockiert aktiv alle gängigen Wege, um die Malware wieder loszuwerden: Das Entziehen von Berechtigungen wird verhindert, die Deinstallation der App wird unterbunden, und der Accessibility Service lässt sich nicht deaktivieren. Das App-Symbol wird vollständig aus dem System ausgeblendet, und Prozesse werden verschleiert, um eine Erkennung durch Sicherheitssoftware zu erschweren. Über mehrkanalige Selbstwiederherstellungsmechanismen soll die Malware monatelang aktiv bleiben können – auch auf den stark angepassten Android-Varianten von Samsung, Xiaomi und OPPO, auf denen vergleichbare Tools Certo zufolge häufig bereits nach wenigen Tagen versagen.

Die serverseitige Infrastruktur ist auf den gleichzeitigen Betrieb von mehr als 1.000 aktiven Sitzungen ausgelegt. Sie unterstützt zudem den Betrieb über anonymisierende Netzwerke wie Tor, was die Rückverfolgung für Ermittler erheblich erschwert.

Einordnung

Oblivion stellt laut Certo einen spürbaren Rückschritt für die Plattformverteidigung dar. Google hat über mehrere Android-Versionen hinweg systematisch daran gearbeitet, den Missbrauch des Accessibility Service einzudämmen. Ein Tool, das diese Schutzmaßnahmen auf der aktuellsten Android-Version funktional umgeht – und das auf den Geräten der meistgenutzten Hersteller weltweit – ist eine Entwicklung, die über das übliche Bedrohungsspektrum hinausgeht. Hinzu kommt, dass das Abonnementmodell und die intuitive Benutzeroberfläche die Nutzung auch für Personen ohne tiefere technische Kenntnisse zugänglich machen. Angriffe, die bislang spezialisiertes Fachwissen erforderten, lassen sich damit ohne erhebliche Vorkenntnisse durchführen.

Der primäre Infektionsweg von Oblivion – eine gefälschte Update-Aufforderung außerhalb des Play Stores – ist keine neue Methode. Sie erweist sich jedoch weiterhin als wirksam, weil sie im Alltag unauffällig wirkt und wenig Misstrauen weckt.

Schutzmaßnahmen

Die Infektionskette von Oblivion setzt an einem Punkt an, den Nutzer selbst beeinflussen können. Wer App-Installationen konsequent auf den Google Play Store beschränkt und unerwartete Update-Aufforderungen – insbesondere solche, die ungewöhnliche manuelle Schritte verlangen – grundsätzlich hinterfragt, reduziert das Infektionsrisiko erheblich.

Darüber hinaus empfiehlt es sich, unter Einstellungen > Barrierefreiheit regelmäßig zu prüfen, welchen Anwendungen Zugriff auf diesen Dienst gewährt wurde. Unbekannte oder nicht eindeutig zuzuordnende Einträge sollten umgehend entfernt werden. Als Orientierungspunkt gilt: Nur sehr wenige legitime Anwendungen benötigen tatsächlich Zugriff auf den Accessibility Service. Wer einen unerwarteten Lade- oder Update-Bildschirm bemerkt – insbesondere nach der Installation einer App von außerhalb des Play Stores –, sollte das Gerät umgehend ausschalten und einen Malware-Scan durchführen.

Empfehlung:

---