"Adware-Trojaner" rooten heimlich Android-Geräte
Sicherheitsforscher warnen vor einer neuen Form von Android-Adware, die neben der Einblendung von Werbung auch Geräte rooten und ausspionieren kann.
20.000 Klone von populären Apps, wie etwa Facebook und Whatsapp, sollen Android-Smartphones und -Tablets mit Werbung verseuchen und sogar rooten können. Davor warnen Kryptologen von Lookout. Sie bezeichnen die Malware als Adware-Trojaner.
Die bösartigen Klon-Apps sollen sich ausschließlich in App Stores von Dritt-Anbietern finden. Lookout zufolge verhalten sich die verseuchten Apps wie die Original-App, sodass der Nutzer keinen Verdacht schöpft. Von den Adware-Trojanern sollen auch Nutzer in Deutschland betroffen sein.
Unter den 20.000 Funden befinde sich auch ein bösartiger Klon der Zwei-Faktor-Authentifizierungs-App von Okta, die in Firmen zum Einsatz kommen soll. Lookout warnt an dieser Stelle vor möglicher Spionage durch den Trojaner-Teil des Schädlings.
Vom Rooten bekommt der Nutzer nichts mit
Das Rooten soll über bereits bekannte Exploits, wie etwa Framaroot, ExynosAbuse und Memexploit, vom Nutzer unbemerkt stattfinden. Welche Android-Versionen anfällig sind, erläutern die Sicherheitsforscher nicht.
Lookout zufolge sollen die bösartigen Klon-Apps von verschiedenen Malware-Entwicklern stammen. Der Code sei aber größtenteils identisch und es kommen auch die gleichen Exploits zum Einsatz. Lookout schließt daraus auf eine Kommunikation der Entwickler untereinander.
(Bild:Â Lookout )
Malware fest im System verankert
Zudem soll sich der Adware-Trojaner als System-Applikation festsetzen, Lookout zufolge lässt sich die bösartige App nicht mehr entfernen. Das bestätigt ein Kommentar-Verfasser gegenüber dem Technikportal Arstechnica, der sich als Sicherheitsforscher ausgibt, der die Malware analysiert hat.
Ihm zufolge modifiziert der Shedun-Abkömmling der Adware-Trojaner die install-recovery.sh, um sich dauerhaft im System festzusetzen. Eine andere Variante verändere zudem Dateien über den Linux-Befehl chattr, sodass diese sich nicht ohne Weiteres entfernen lassen. Dem Kommentar-Verfasser zufolge könnte in naher Zukunft ein Whitepaper mit weiteren technischen Details erscheinen.
In der Vergangenheit hat sich eine, bis auf die Adware-Komponente, ähnlich gestrickte App zum heimlichen Rooten von Android-Geräten sogar in Google Play geschlichen. Ob es einen Zusammenhang mit den neu entdeckten Fällen gibt, ist nicht bekannt. (des)
