AbstractEmu-Trojaner schleicht sich in Google Play und rootet Android-Geräte

Eigentlich wollen große App Stores wie Google Play mit verschiedenen Sicherheitsmaßnahmen den Einzug von Apps mit Schadcode verhindern. Doch das klappt offensichtlich nicht immer verlässlich. Sicherheitsforscher von Lookout sind in offiziellen App Stores auf gefährliche Trojaner-Apps gestoßen, die Android-Geräte rooten können. Klappt das, haben Angreifer in der Regel die volle Kontrolle über Geräte.

In einem Beitrag führen die Sicherheitsforscher aus, dass sie in Amazons App Store, Google Play und Samsungs Galaxy Store auf 19 trojanisierte Apps gestoßen sind. Sieben davon sollen Rooting-Funktionen mitbringen. Die Apps sollen sich als vor allem als Dienstprogramme wie App Launcher und Passwort-Manager tarnen. Die Forscher geben an, dass Google die betreffenden Apps mittlerweile entfernt hat. Wie der Status bei den anderen App Stores ist, ist derzeit unbekannt.

Unter anderem die App "Lite Launcher" aus Google Play soll wie versprochen funktionieren. Im Hintergrund laufen aber Schadfunktionen. Vor dem Rausschmiss aus dem App Store soll sie 10.000 Downloads aufgewiesen haben.

Die volle Kontrolle übernehmen

Root-User haben Zugriff auf alle Elemente des Android-Betriebssystems. So können Apps mit bösartigen Absichten in diesem Fall etwa sämtliche Einstellungen verbiegen und Berechtigungen aktivieren. Der AbstractEmu-Trojaner soll dann unter anderem Zugriffe auf das Mikrofon und die Kamera haben und Screenshots machen können.

Über letzteres könnten Angreifer Passwörter abgreifen. Außerdem soll er SMS-Nachrichten mit Codes von Zwei-Faktor-Authentifizierungen (2FA) abfangen können. Damit ausgestattet, könnten Angreifer sich beispielsweise Zugang zu eigentlich mit 2FA abgesicherten Accounts verschaffen.

Was genau die Kriminellen mit den Trojaner-Apps erreichen wollen, ist zurzeit unklar. Die Sicherheitsforscher gehen davon aus, dass es primär um Geld geht. Die Kampagne soll weltweit in 17 Ländern aktiv sein.

Ansatzpunkte zum Rooten

Um Android-Geräte zu rooten, setzen die Apps den Forschern zufolge an verschiedenen Sicherheitslücken an. Darunter einige älter Schwachstellen aus dem Jahr 2015. Sie bringen aber auch Exploit-Code für aktuellere Lücken (CVE-2020-0041, CVE-2020-0069) mit. Beide Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft. In beiden Fällen kommt es nach der Ausführung zu Speicherfehlern und Angreifer können sich dadurch höhere Nutzerrechte verschaffen. Aus dieser Position sollen sie auf nicht näher beschriebenem Weg den Rooting-Prozess einleiten können.

Klappt das, können die Angreifer im Grunde alles mit dem Gerät machen. Das Perfide daran ist, dass viele Schadfunktionen von Opfern unbemerkt im Hintergrund laufen können. Um solche Attacken vorzubeugen, sollte man Android-Geräte immer auf dem aktuellen Stand halten und Sicherheitsupdates installieren. Das ist aber immer noch ein großes Problem, da sogar viele nicht allzu alte Geräte gar keine Updates mehr bekommen. Wenn man sich zusätzlich nicht auf die Sicherheitschecks der großen App Stores verlassen kann, steht man ziemlich hilflos da.

(des)