Android-Malware schürft Kryptogeld auf Fire-TV-Geräten
(Bild: pixabay.com)
Ruckelnde Video-Streams und seltsame weiße Pop-Ups können Anzeichen für eine Schadcode-Infektion auf Fire TV und Fire TV Sticks sein.
Eine Android-Malware, die dem Schürfen der Kryptowährung Monero dient, sorgt schon seit März dieses Jahres auf Fire-TV-Geräten für starke Performance-Probleme bis hin zu Systemabstürzen. Wie Nutzer im XDA Developers Forum schildern [1], macht die Malware-App mit der Bezeichnung "Test" und dem Package-Namen com.google.time.timer zusätzlich durch aufpoppende weiße Fenster auf sich aufmerksam. Zwar kann sie auch andere Android-Geräte befallen; da sie dort aber offenbar keine Fenster öffnet [2], bleibt sie tendenziell länger unbemerkt.
Wie der Schadcode initial auf die Geräte gelangt, ist bislang noch unklar. Allerdings berichten Betroffene im XDA-Forum übereinstimmend, kurz vor den ersten Anzeichen der Infektion Apps via Sideload [3] installiert zu haben. Im Thread ist in diesem Zusammenhang unter anderem von "FreeFlix HQ", einer App zum Streamen raubkopierter Filme und Serien, die Rede.
Fortpflanzung via adb
Ein XDA-Forenmitglied, das den Schadcode einer Analyse unterzog, hält ihn für eine Variante des Schädlings ADB.Miner [4]. Darauf weist zum einen die wurmartige netzwerkinterne Weiterverbreitung über die Android Debug Brige [5] (adb) als auch der verwendete Mining-Code hin. Bei letzterem handelt es sich um einen JavaScript-Schnipsel des Anbieters Coinhive, den Kriminelle bereits seit vergangenem Jahr oft und gerne für Mining-Aktivitäten auf gehackten Webseiten [6] und im Kontext verschiedenster Malware verwenden.
Mehrere Entfernungsstrategien, (mitunter ein wenig fragwürdige) Workarounds sowie weitere Details zur Malware finden sich sowohl in einem Post im XDA-Forum [7] als auch in einem Artikel von AFTNews [8]. Zum vorbeugenden Schutz vor einer Infektion ist es ratsam, den App-Download aus unbekannten Quellen generell zu verbieten und ADB-Debugging immer nur dann zu aktivieren, wenn es tatsächlich gerade benötigt wird. (ovw [9])
URL dieses Artikels:
https://www.heise.de/-4076706
Links in diesem Artikel:
[1] https://forum.xda-developers.com/fire-tv/general/firestick-gen-2-test-app-popping-t3771601
[2] https://forum.xda-developers.com/showpost.php?p=76739940&postcount=63
[3] https://www.droidwiki.org/wiki/Sideloading
[4] https://paper.tuisec.win/detail/60da76bc9c1b5cb
[5] https://www.droidwiki.org/wiki/Android_Debug_Bridge
[6] https://www.heise.de/news/Drupal-Luecken-Lenovo-versaeumt-Webseiten-Update-und-faengt-sich-Krypto-Miner-ein-4044683.html
[7] https://forum.xda-developers.com/showpost.php?s=63b1d6d42d856f2dc912313d086b5a1f&p=76539315&postcount=46
[8] http://www.aftvnews.com/android-malware-worm-that-mines-cryptocurrency-is-infecting-amazon-fire-tv-and-fire-tv-stick-devices/
[9] mailto:olivia.von.westernhagen@gmail.com
Copyright © 2018 Heise Medien