Rooting-Malware feiert unter Android ein trauriges Comeback

Sicherheitsforscher von Lookout haben in dem Google Play Store sowie Drittanbieter-Stores wie dem Amazon Appstore und dem Samsung Galaxy Store Apps entdeckt, welche die Malware „AbstractEmu“ verbreiten sollten. Die Malware wurde konkret AbstractEmu getauft, da sie Code-Abstraktion und Anti-Emulationsprüfungen nutzt, um eine Ausführung während der Analyse zu vermeiden.

Insgesamt wurden 19 verwandte Anwendungen aufgedeckt, von denen sieben Rooting-Funktionen enthalten. Eine der Apps, der „Lite Launcher“, wurde über den Google Play Store über 10.000-mal heruntergeladen. Google und die anderen Anbieter haben die betroffenen Apps mittlerweile entfernt. Weit verbreitete Malware mit Root-Funktionen ist in den letzten fünf Jahren selten geworden. Indem ein Angreifer den Rooting-Prozess nutzt, um sich privilegierten Zugriff auf das Android-Betriebssystem zu verschaffen, kann er unbemerkt Berechtigungen zuweisen oder weitere Malware installieren.

Wer genau hinter AbstractEmu steckt, ist offen. Es scheint sich aber um eine professionelle Gruppe zu handeln, denn die Identität wurde geschickt verborgen und das Vorgehen ist ausgeklügelt. Ihre Malware verbarg sich in den Anwendungen Anti-Ads-Browser, Data Saver, Lite Launcher, My Phone, Night Light, All Passwords, Phone Plus und Abwandlungen jener. Von den fast 19 Apps, die Lookout im Zusammenhang mit der Malware gefunden hat, waren die meisten als Dienstprogramme wie Passwort- oder Finanz-Manager sowie als Systemtools wie Dateimanager und App-Launcher getarnt. Nach der Installation erschienen die Programme dann auch als funktional.

Man fand die infizierten Apps auch bei Aptoide, APKPure und anderen, weniger bekannten App Stores. Wird die Malware nach Installation und Start der jeweiligen App aktiv, kommuniziert sie mit einem Command-and-Control-Server und sendet dabei auch Gerätedaten wie Hersteller, Modell, Version und Seriennummer des Geräts, Telefonnummer und IP-Adresse. Dann wird über das weitere Vorgehen entschieden.

Im Mittelpunkt des Infektionsgeschehens von AbstractEmu steht der Root-Zugriff auf das betreffende Android-Gerät. Standardmäßig versucht die AbstractEmu-Malware, dann mehrere Exploits auszuführen. Im schlimmsten Fall wird das infizierte Gerät dann nach und nach komplett übernommen. Glücklicherweise wurde die Malware vorwiegend in den USA verbreitet, sollte also hoffentlich in Deutschland keine oder zumindest nur wenige Nutzer betroffen haben.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

6 Kommentare

  1. Also im Prinzip Schrottapps die kein Mensch benötigt und nur ein sehr geringer Prozentsatz verwendet hat. Und ob und was dann passiert ist…weiß man das oder nicht?

  2. Verständnisfrage, ich steh gerade auf dem Schlauch: Befällt das nur gerootete Handys oder verschafft sich die Malware selbständig im Hintergrund Root-Rechte, um die Exploits auszuführen?

  3. Richard Rosner says:

    Und welche Android Versionen sollen betroffen sein?

    • Dazu müsste man genauer wissen, welche Exploits die Malware probiert.
      Aber im Prinzip alle Android Versionen, die eben dafür anfällig sind, unabhängig von der Version.
      Relevant ist da wahrscheinlich eher, ob der entsprechende Security Patch installiert wurde oder nicht.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.