Mein Handy wurde gehackt: Was kann ich tun?
Euer Handy wurde gehackt oder ihr habt den Verdacht, dass eine Spionage App auf dem Smartphone installiert ist? Dieser Beitrag hilft euch die Überwachungs-Software zu erkennen und vom Smartphone zu entfernen. Egal ob Android oder iPhone.
Es gibt unterschiedliche Wege einen Schädling auf das Handy zu bekommen. Die meisten sind jedoch nicht zufällig, sondern jemand hat die App zur Überwachung aktiv und bewusst installiert. Zum Hacken ist meist ein Zugriff auf das Handy notwendig.
Mein Smartphone wurde gehackt: Was kann ich tun?
Android-Smartphones lassen sich deutlich leichter hacken als iPhones. Deshalb erklärt der Beitrag erst, was ihr für Android und anschließend für iPhones tun müsst, wenn das Handy gehackt wurde.
Wurde das Handy gerootet?
Einem gerooteten Smartphone könnt ihr nicht vertrauen. Egal ob der Root von euch oder jemand anderem durchgeführt wurde. Angreifer können auf einem gerooteten Smartphone Spionage-Software so verstecken, dass diese mit einfachen Mitteln nicht zu erkennen ist.
In den Einstellungen beim iPhone beziehungsweise in den Apps bei Android könnt ihr nach Tools und Apps suchen, die normalerweise zum Rooten verwendet werden. Dazu gehören unter anderem die BusyBox, KingRoot oder SuperSu.
Android-Smartphones lassen sich zusätzlich mit der App Root Checker überprüfen.
Ist euer Smartphone gerootet, könnt ihr das wie folgt reparieren. Entweder ist setzt das gerootete Smartphone auf Werkseinstellungen zurück oder ihr repariert das gerootete System. Letzteres ist jedoch mit hohem Aufwand verbunden. Laien sollten eine Person mit Erfahrung mit gerooteten Smartphones hinzuziehen.
Android Smartphone wurde gehackt: Das ist zu tun!
Dieser Absatz geht davon aus, dass euer Android-Smartphone nicht gerootet, jedoch das Handy mit einer speziellen Software gehackt wurde.
Folgende Liste hilft euch dabei, einen Angriff zu entdecken und die Sicherheit auf dem Smartphone wieder herzustellen.
- Smartphone ist nicht gerootet?
- Unbekannte Geräteadministratoren deaktivieren
- Google Play Protect einschalten und Smartphone scannen
- Verdächtige Apps entfernen
- Passwörter aller Dienste ändern (Banking, Dropbox, E-Mail, Facebook, Google und weitere). Vergebt dabei neue und sichere Passwörter
- Zwei-Faktor-Authentifizierung einschalten
- Messenger aus Browser abmelden
- Auf Werkseinstellungen zurücksetzen (sollte nichts anderes helfen)
Unbekannte Geräteadministratoren deaktivieren
Unter Android erhalten Apps mit Rechte als Geräteadministrator sehr umfangreiche Zugriffsrechte auf das Betriebssystem. Ob und wenn ja welche Apps Geräteadministrator-Rechte haben, findet ihr wie folgt:
Einstellungen –> Sicherheit & Standort –> Apps zur Geräteverwaltung
Je nach Hersteller des Android-Smartphones weicht die Bezeichnung der Menü-Punkte leicht ab.
Für gewöhnlich stehen dort die Einträge Google Play und Mein Gerät finden. Ist das Smartphone in einem Mobile Device Management eurer Firma oder eine E-Mail-App, wird ein weiterer Eintrag angezeigt.
Ist das Smartphone nicht in einer Firmenumgebung und es sind mehr als die zwei oben genannten Einträge vorhanden, könnte dies auf eine Infektion eures Handys hinweisen.
Solltet ihr einen der Geräteadministratoren nicht kennen, deaktiviert diesen und deinstalliert die dazugehörige App. Entwickler können jedoch den Eintrag als Geräteadministrator beliebig benennen. Hier ist eventuell etwas Suchaufwand notwendig.
Smartphone mit mit Google Play Protect scannen
Zusätzlich solltet ihr euch Google Play Protect ansehen. Die Sicherheitsfunktion für Android funktioniert auch auf älteren Android-Versionen. Google Play Protect findet ihr entweder direkt über die Google Play App oder in den Einstellungen zum Smartphone.
Der Weg über die Google Play Store App:
„Burger Menü“ in der Play Store App –> Play Protect
Alternativ geht auch der Weg über die Einstellungen von Android:
Einstellungen –> Sicherheit & Standort –> Apps zur Geräteverwaltung
Die Option Gerät auf Sicherheitsbedrohung prüfen muss eingeschaltet sein. Die Option Erkennung schädlicher Apps verbessern solltet ihr ebenfalls aktivieren. Ist der letzte Scan durch Play Protect schon länger her, startet den Scan manuell durch Antippen des „Pfeil im Kreis“.
Ist der Scan von Google Play Protect auf dem Smartphone schon mehrere Tage her, kann das auf eine schädliche App hinweisen.
Für den Scan durch Play Protect benötigt das Smartphone Zugang zum Internet. Ist das gegeben, solltet ihr jetzt einen Scan durchführen. Play Protect erkennt beispielsweise Spionage-Tools von mSpy und FlexiSPY und kann diese auch direkt deinstallieren.
Schädliche Software aus Fremdquellen aufspüren
Damit sich ein Smartphone hacken und beispielsweise Instagram Nachrichten mitlesen lassen, benötigt der Angreifer Zugriff auf das Android-Handy und muss die Software manuell installieren.
Der Virenscanner von Google erkennt schädliche Software, weshalb Apps aus dem Play Store großteils frei von Schadsoftware sind. Deshalb muss der Angreifer die Installation von Apps aus fremden Quellen einschalten.
Die Funktion ist bei Android-Smartphones ab Werk vom Hersteller deaktiviert. Bei älteren Smartphone findet ihr die Einstellungen unter:
Einstellungen –> Sicherheit –> Unbekannte Herkunft
An der Option Installation von Apps aus unbekannten Quellen zulassen darf kein Haken gesetzt sein.
Android-Smartphones mit neuer Software besitzen keine zentrale Sperre für Software aus unbekannten Quellen. Hier erhalten einzelne Apps die Berechtigung, aus Fremdquellen Software zu installieren. Die Option findet ihr unter:
Einstellungen –> Apps & Benachrichtigungen –> Spezieller App-Zugriff –> Unbekannt
Alle installierte Apps sollten hier ein nicht zulässig anzeigen. Findet sich eine App auf eurem Smartphone, die Fremdquellen zulässt, ist das ein Hinweis auf eine schädliche App-
Die Quellen Von Google Play Store geladene App oder Von Galaxy Apps geladene App sind in der Regel unbedenklich. Eine Vom Paket-Installer geladene App ist dagegen verdächtig. Diese App solltet ihr deinstallieren.
Liste aller installierten Apps prüfen
Zusätzlich könnt ihr die Liste aller installierten Apps überprüfen. Das ist zwar aufwendig, gibt euch aber einen Einblick, welche App Zugriff auf persönliche Daten hat. Zu finden unter:
Einstellungen –> Apps & Benachrichtigungen –> Erweitert –> App-Berechtigungen
Unter dieser Option könnt ihr einsehen, welche App auf welche Daten Zugriff hat. Bei den Punkten zu Kontakte, SMS, Kamera und Standort sollten keine Apps auftauchen, die ihr nicht selbst installiert habt. Unbekannte Apps solltet ihr deinstallieren.
Passwörter ändern
Unter https://myaccount.google.com/device-activity sehr ihr alle Geräte, die mit eurem Google-Account verknüpft sind und wann diese Geräte das letzte mal aktiv waren. Alle euch unbekannten Geräte müssen hier umgehend entfernt werden.
Habt ihr eine schädliche App auf eurem Smartphone entdeckt, müsst ihr nach dem Entfernen der Schadsoftware unbedingt eure Passwörter ändern. Zudem solltet ihr prüfen, welche Geräte auf euer Google-Konto zugreifen.
Die Änderung der Passwörter gilt auch für alle anderen Dienste wie Cloud-Speicher oder Banking-Apps. Nachdem euer Smartphone gehackt wurde, müsst ihr davon ausgehen, dass alle Daten darauf kompromittiert wurden.
Bei der Vergabe neue Passwörter solltet ihr sichere und schwer zu erratene Passwörter vergeben. Vergebt dabei für jeden Dienst ein eigenes Passwort. Damit ihr euch die Menge an unterschiedlichen Passwörter merken könnt, verwendet einen Passwort-Manager.
Zwei-Faktor Authentifizierung einschalten
Alle wichtigen Dienste bieten zusätzlich zur Anmeldung via Benutzername und Passwort die Option, einen zusätzlichen Anmeldeschutz zu aktivieren. Dabei handelt es sich um ein Einmal-Passwort, dass zur Anmeldung erstellt wird.
Die Erstellung kann beispielsweise über eine spezielle App wie den Google Authenticator oder via SMS erfolgen.
Nur wer Benutzername, Passwort und das Einmal-Passwort hat, kann sich anmelden. Deshalb solltet ihr zwingend die Zwei-Faktor-Authentifizierung einschalten.
Messenger aus Browser abmelden
Die Messenger WhatsApp, Signal und Threema sowie einige weitere lassen sich auch über den Browser nutzen. Ein Angreifer könnte die Option ohne euer Wissen aktiviert haben.
Der Zugriff über den Browser auf die Nachrichten könnte im Zweifelsfall auch nach dem Entfernen der Malware vom Smartphone bestehen bleiben.
Bei WhatsApp heißt dieser Menüpunkt „WhatsApp Web“ und bei Threema „Threema Web“. Trennt alle Zugriffe, die definitiv nicht von euch eingerichtet wurden. Besteht ein Zugriff, ohne dass ihr diesen erstellt habt, ist das ein Hinweis auf einen Angriff.
Auf Werkseinstellungen zurücksetzen
Ihr traut eurem Smartphone weiterhin nicht? Dann hilft nur noch das Zurücksetzen von Android auf Werkseinstellungen.
Vorher solltet ihr alle persönlichen Daten wie Fotos, Adressen und Termine sichern. Eventuell macht ihr euch extra Notizen zu besonderen Einstellungen auf dem Android-Smartphone. Das Zurücksetzen auf die Werkseinstellungen findet ihr unter:
Einstellungen –> System –> Erweitert –> Option zurücksetzen –> Alle Daten löschen (Werkseinstellungen) –> Telefon zurücksetzen
Zum Start des Resets wird noch einmal eure Smartphone-PIN benötigt.
Nach dem Zurücksetzen auf Werkseinstellungen müsst ihr das Smartphone neu einrichten.
Dabei ist zu beachten: Richtet das Handy manuell ein. Geht in den Google Play Store und installiert jede benötigte App von Hand. Stellt das Smartphone auf keinen Fall aus einem Backup wieder her, ansonsten infiziert ihr das Handy erneut.
Ändert Passwörter erst nach dem Zurücksetzen des Handys. Damit verhindert ihr, dass ein installierter Keylogger die neuen Passwörter ausliest.
iPhone wurde gehackt: Das ist zu tun!
Das Ausspionieren von iPhones, um beispielsweise Snapchat Nachrichten mitlesen zu können, ist deutlich schwieriger als bei Android-Handys. Dazu muss als erstes geprüft werden, ob das iPhone einem Jailbreak unterzogen wurde.
Ein Jailbreak setzt wichtige Schutzmaßnahmen auf dem iPhone außer Kraft. Deshalb sollte das iPhone immer die aktuelle Version von iOS installiert haben. Dann müsst ihr einen Jailbreak nicht befürchten.
- Ist die aktuelle Version von iOS installiert?
- Auf Jailbreak prüfen
- Sind Profile und Supervised Mode vorhanden?
- Verdächtige Apps unter Einstellungen –> Datenschutz entfernen
- Freigaben für Apple Friends prüfen
- Passwörter aller Dienste ändern (Banking, Dropbox, E-Mail, Facebook, Google und weitere). Vergebt dabei neue und sichere Passwörter
- Zwei-Faktor-Authentifizierung einschalten
- Messenger aus Browser abmelden (siehe oben bei Android)
- Apple-Konto prüfen und absichern
Aktuell gibt es keine öffentlich bekannte Möglichkeit eines Jailbreaks ab iOS 11.4. Über die aktuelle Version von iOS informiert Apple auf den Seiten zu den Sicherheitsupdates.
Typische Anzeichen für einen Jailbreak auf einem iPhone sind beispielsweise die Apps Cydia, Electra und Pangu.
Auch haben die Apps vieler Banken zwischenzeitlich einer Erkennung von Jailbreaks und verweigern dann den Start.
Zudem ist auch die Laufzeit des Akkus ein guter Indiz auf Schadsoftware. Apps zur Handyüberwachung, beispielsweise zum Mitlesen von Telegram Nachrichten, erhöhen den Stromverbrauch und reduzieren die Laufzeit des iPhones.
Gleiches gilt auch für das Datenvolumen. Ist dieses plötzlich und häufig aufgebraucht, solltet ihr prüfen welche App unverhältnismäßig viele Daten übertragt.
Grundsätzlich sind iPhones sicher vor Malware und Apps zur Überwachung. Deshalb zielen Apps zur Überwachung auf die Daten des iCloud-Accounts ab und weniger auf das iPhones selbst.
Vor einem Angriff auf das iCloud Konto schützt ein geändertes Passwort und die Zwei-Faktor-Authentifizierung für iCloud.
Hinweise auf bekannte Spyware
Die nachfolgende Tabelle gibt euch einige Tipps mit an die Hand, um bekannte Spyware zu erkennen.
Spyware | Infektion erkennen |
mSpy | Wählen von #000* öffnet das User-Interface von mSpy |
FlexiSPY | FSXGAD_\.apk auf der SD-Karte; in /data/app/ liegt com.mobilefonex.mobilebackup-1.apk; http://djp.cc bleibt oft im Browserverlauf zurück; Wählen von *#900900900 öffnet das User-Interface von FlexiSpy |
PhoneSheriff | Alle abgefangenen Daten und Einstellungen sind unter /data/com.studio.sp2/ abrufbar |
MobileSpy | Wählen von #123456789* öffnet das User-Interface von MobileSpy |
OmniRAT | erzeugt Geräte-Administrator com.android.engine.Deamon |
Persönliche Meinung
Was ist zu tun, wenn das Smartphone gehackt wurde? Die oben aufgeführten Listen sind lang, führen euch jedoch Schritt für Schritt zu einem sauberen und Spyware-freien Smartphone.
Der wichtigste Tipp: Das Handy sollte niemals aus der Handy gegeben und immer mit einer PIN geschützt sein, die außer euch, niemand kennt. Die meiste Schadsoftware lässt sich nur bei direktem Zugriff auf euer Handy installieren.
Mein Handy wurde gehackt: Was kann ich tun?
Zusammenfassung
Euer Handy wurde gehackt? Was sollt ihr tun? Dieser Beitrag führt euch Schritt für Schritt durch die Säuberung eines iPhones oder Android-Smartphones.
Benutzer-Bewertung
( Stimme)Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.
Hallo, mein Smartphone wurde gesperrt durch ein Hacker. Komme nicht mehr rein mit meinem Pin und Puk. Möchte auch nicht auf Werkseinstellung zurücksetzen da ich einige Daten drin habe und die dann verlieren würde. Wegen Facebook, dort wurde ich gehackt und noch immer nciht bereinigt, hatte dort dann die Handynummer angegeben und wurde dann auch in meinem Handy gehackt. Stellte ich fest als ich ein unschönes Wort in Facebook als Passwort eingab und 5 Minuten später war mein Smartphone aus. Samsung Galaxy AO5s IMEI, habe es erst seit Mai.