"Adware-Trojaner" rooten heimlich Android-Geräte

Sicherheitsforscher warnen vor einer neuen Form von Android-Adware, die neben der Einblendung von Werbung auch Geräte rooten und ausspionieren kann.

In Pocket speichern vorlesen Druckansicht 90 Kommentare lesen
Smartphone
Lesezeit: 2 Min.

20.000 Klone von populären Apps, wie etwa Facebook und Whatsapp, sollen Android-Smartphones und -Tablets mit Werbung verseuchen und sogar rooten können. Davor warnen Kryptologen von Lookout. Sie bezeichnen die Malware als Adware-Trojaner.

Die bösartigen Klon-Apps sollen sich ausschließlich in App Stores von Dritt-Anbietern finden. Lookout zufolge verhalten sich die verseuchten Apps wie die Original-App, sodass der Nutzer keinen Verdacht schöpft. Von den Adware-Trojanern sollen auch Nutzer in Deutschland betroffen sein.

Unter den 20.000 Funden befinde sich auch ein bösartiger Klon der Zwei-Faktor-Authentifizierungs-App von Okta, die in Firmen zum Einsatz kommen soll. Lookout warnt an dieser Stelle vor möglicher Spionage durch den Trojaner-Teil des Schädlings.

Das Rooten soll über bereits bekannte Exploits, wie etwa Framaroot, ExynosAbuse und Memexploit, vom Nutzer unbemerkt stattfinden. Welche Android-Versionen anfällig sind, erläutern die Sicherheitsforscher nicht.

Lookout zufolge sollen die bösartigen Klon-Apps von verschiedenen Malware-Entwicklern stammen. Der Code sei aber größtenteils identisch und es kommen auch die gleichen Exploits zum Einsatz. Lookout schließt daraus auf eine Kommunikation der Entwickler untereinander.

Lookout zufolge erstellen verschiedene Entwickler Adware-Trojaner. Der Code sei dabei aber oft nahezu identisch. Zudem kommen die gleich Exploits zum Einsatz.

(Bild: Lookout )

Zudem soll sich der Adware-Trojaner als System-Applikation festsetzen, Lookout zufolge lässt sich die bösartige App nicht mehr entfernen. Das bestätigt ein Kommentar-Verfasser gegenüber dem Technikportal Arstechnica, der sich als Sicherheitsforscher ausgibt, der die Malware analysiert hat.

Ihm zufolge modifiziert der Shedun-Abkömmling der Adware-Trojaner die install-recovery.sh, um sich dauerhaft im System festzusetzen. Eine andere Variante verändere zudem Dateien über den Linux-Befehl chattr, sodass diese sich nicht ohne Weiteres entfernen lassen. Dem Kommentar-Verfasser zufolge könnte in naher Zukunft ein Whitepaper mit weiteren technischen Details erscheinen.

In der Vergangenheit hat sich eine, bis auf die Adware-Komponente, ähnlich gestrickte App zum heimlichen Rooten von Android-Geräten sogar in Google Play geschlichen. Ob es einen Zusammenhang mit den neu entdeckten Fällen gibt, ist nicht bekannt. (des)