Geldgierige Android-Malware missbraucht 10 Jahre alte Sicherheitslücke Dirty Cow
Unter Ausnutzung einer bereits seit 2007 existierenden Schwachstelle im Linux-Kernel versucht ein neuer Android-Schädling Opfern via Mobile Payment das Geld aus der Tasche zu ziehen.
TrendMicro hat die wohl erste Android-Malware entdeckt, die die bereits seit mehreren Jahren bekannte Linux-Schwachstelle Dirty Cow (CVE-2016-5195) ausnutzt. Laut dem Sicherheitssoftware-Hersteller ist der Schädling mit dem Alias AndroidOS_ZNIU in mehr als 40 Ländern aktiv – vor allem in China und Indien, in geringerem Umfang aber auch in Deutschland.
Man habe ihn in mehr als 1200 vorgeblichen Pornografie- und Spiele-Apps entdeckt, die auf über 5000 Endgeräten installiert worden seien. Als Download-Quelle nennt TrendMicro "schädliche Websites"; über Funde im offiziellen Google Play Store ist bislang nichts bekannt. Einmal auf dem Gerät, missbrauche ZNIU die Dirty-Cow-Lücke, um sich Root-Rechte zu verschaffen und eine Backdoor einzurichten.
Griff nach dem Geldbeutel
Der anschließende Griff nach dem (digitalen) Geldbeutel des Angriffsopfers erfolgt laut TrendMicro derzeit nur dann, wenn der Mobilfunkbetreiber in China sitzt. Die Malware nutzt Mobile Payment, um Geldbeträge an eine Scheinfirma zu überweisen.
Um ihre Spuren zu verwischen, löscht sie anschließend sämtliche mit den Transaktionen verbundenen SMS. Die Backdoor bleibt – und stellt für Nutzer aus allen betroffenen Ländern weiterhin eine Gefahr dar.
Dirty Cow bereits seit 2007 bekannt
Die Dirty-Cow-Schachstelle aka CVE-2016-5195 existiert bereits mindestens seit der Linux-Kernel-Version 2.6.22 – und damit seit gut 10 Jahren. 2016 zeigten Sicherheitsforscher, dass auch Android für die Rechteausweitungslücke anfällig ist. Auf die Veröffentlichung gefixter Versionen durch die Linux-Kernelentwickler ab Mitte Oktober 2016 ließ Google im November und Dezember Security-Updates für Android folgen.
Abgesichert wurden damals die Kernel-Versionen 3.10 und 3.18 sowie eine Reihe von Nexus- und Pixel-Geräten. Auch Blackberry hat ein entsprechendes Update veröffentlicht. Welche Android-Geräte anderer Hersteller gegen Dirty Cow geschützt sind, ist derzeit unklar. Das liegt unter anderem daran, dass Hersteller unzählige Geräte mit gebrandeter Software anbieten und Patches dafür extra entwickelt und freigeben werden müssen, was in der Regel aber nicht passiert. (ovw)
