zurück zum Artikel

"Adware-Trojaner" rooten heimlich Android-GerÀte

Dennis Schirrmacher
Smartphone

Sicherheitsforscher warnen vor einer neuen Form von Android-Adware, die neben der Einblendung von Werbung auch GerÀte rooten und ausspionieren kann.

20.000 Klone von populÀren Apps, wie etwa Facebook und Whatsapp, sollen Android-Smartphones und -Tablets mit Werbung verseuchen und sogar rooten [1] können. Davor warnen Kryptologen von Lookout. Sie bezeichnen die Malware als Adware-Trojaner.

Die bösartigen Klon-Apps sollen sich ausschließlich in App Stores von Dritt-Anbietern finden. Lookout zufolge verhalten sich die verseuchten Apps wie die Original-App, sodass der Nutzer keinen Verdacht schöpft. Von den Adware-Trojanern sollen auch Nutzer in Deutschland betroffen sein.

Unter den 20.000 Funden befinde sich auch ein bösartiger Klon der Zwei-Faktor-Authentifizierungs-App von Okta, die in Firmen zum Einsatz kommen soll. Lookout warnt an dieser Stelle vor möglicher Spionage durch den Trojaner-Teil des SchÀdlings.

Vom Rooten bekommt der Nutzer nichts mit

Das Rooten soll ĂŒber bereits bekannte Exploits, wie etwa Framaroot, ExynosAbuse und Memexploit, vom Nutzer unbemerkt stattfinden. Welche Android-Versionen anfĂ€llig sind, erlĂ€utern die Sicherheitsforscher nicht.

Lookout zufolge sollen die bösartigen Klon-Apps von verschiedenen Malware-Entwicklern stammen. Der Code sei aber grĂ¶ĂŸtenteils identisch und es kommen auch die gleichen Exploits zum Einsatz. Lookout schließt daraus auf eine Kommunikation der Entwickler untereinander.

Lookout

Lookout zufolge erstellen verschiedene Entwickler Adware-Trojaner. Der Code sei dabei aber oft nahezu identisch. Zudem kommen die gleich Exploits zum Einsatz.

(Bild: Lookout [2] )

Malware fest im System verankert

Zudem soll sich der Adware-Trojaner als System-Applikation festsetzen, Lookout zufolge lĂ€sst sich die bösartige App nicht mehr entfernen. Das bestĂ€tigt ein Kommentar-Verfasser gegenĂŒber dem Technikportal Arstechnica [3], der sich als Sicherheitsforscher ausgibt, der die Malware analysiert hat.

Ihm zufolge modifiziert der Shedun-Abkömmling der Adware-Trojaner die install-recovery.sh, um sich dauerhaft im System festzusetzen. Eine andere Variante verĂ€ndere zudem Dateien ĂŒber den Linux-Befehl chattr, sodass diese sich nicht ohne Weiteres entfernen lassen. Dem Kommentar-Verfasser zufolge könnte in naher Zukunft ein Whitepaper mit weiteren technischen Details erscheinen.

In der Vergangenheit hat sich eine, bis auf die Adware-Komponente, Àhnlich gestrickte App zum heimlichen Rooten von Android-GerÀten [4] sogar in Google Play geschlichen. Ob es einen Zusammenhang mit den neu entdeckten FÀllen gibt, ist nicht bekannt. (des [5])

URL dieses Artikels:
https://www.heise.de/-2878360

Links in diesem Artikel:
[1] https://blog.lookout.com/blog/2015/11/04/trojanized-adware/
[2] https://blog.lookout.com/blog/2015/11/04/trojanized-adware/
[3] http://arstechnica.com/security/2015/11/new-type-of-auto-rooting-android-adware-is-nearly-impossible-to-remove/?comments=1&post=30069359
[4] https://www.heise.de/news/Google-Play-Malware-rootet-Android-Geraete-2823455.html
[5] mailto:des@heise.de

Copyright © 2015 Heise Medien