Rooting-Malware feiert unter Android ein trauriges Comeback
von André Westphal | 6 Kommentare
Sicherheitsforscher von Lookout haben in dem Google Play Store sowie Drittanbieter-Stores wie dem Amazon Appstore und dem Samsung Galaxy Store Apps entdeckt, welche die Malware „AbstractEmu“ verbreiten sollten. Die Malware wurde konkret AbstractEmu getauft, da sie Code-Abstraktion und Anti-Emulationsprüfungen nutzt, um eine Ausführung während der Analyse zu vermeiden.
Insgesamt wurden 19 verwandte Anwendungen aufgedeckt, von denen sieben Rooting-Funktionen enthalten. Eine der Apps, der „Lite Launcher“, wurde über den Google Play Store über 10.000-mal heruntergeladen. Google und die anderen Anbieter haben die betroffenen Apps mittlerweile entfernt. Weit verbreitete Malware mit Root-Funktionen ist in den letzten fünf Jahren selten geworden. Indem ein Angreifer den Rooting-Prozess nutzt, um sich privilegierten Zugriff auf das Android-Betriebssystem zu verschaffen, kann er unbemerkt Berechtigungen zuweisen oder weitere Malware installieren.
Wer genau hinter AbstractEmu steckt, ist offen. Es scheint sich aber um eine professionelle Gruppe zu handeln, denn die Identität wurde geschickt verborgen und das Vorgehen ist ausgeklügelt. Ihre Malware verbarg sich in den Anwendungen Anti-Ads-Browser, Data Saver, Lite Launcher, My Phone, Night Light, All Passwords, Phone Plus und Abwandlungen jener. Von den fast 19 Apps, die Lookout im Zusammenhang mit der Malware gefunden hat, waren die meisten als Dienstprogramme wie Passwort- oder Finanz-Manager sowie als Systemtools wie Dateimanager und App-Launcher getarnt. Nach der Installation erschienen die Programme dann auch als funktional.
Man fand die infizierten Apps auch bei Aptoide, APKPure und anderen, weniger bekannten App Stores. Wird die Malware nach Installation und Start der jeweiligen App aktiv, kommuniziert sie mit einem Command-and-Control-Server und sendet dabei auch Gerätedaten wie Hersteller, Modell, Version und Seriennummer des Geräts, Telefonnummer und IP-Adresse. Dann wird über das weitere Vorgehen entschieden.
Im Mittelpunkt des Infektionsgeschehens von AbstractEmu steht der Root-Zugriff auf das betreffende Android-Gerät. Standardmäßig versucht die AbstractEmu-Malware, dann mehrere Exploits auszuführen. Im schlimmsten Fall wird das infizierte Gerät dann nach und nach komplett übernommen. Glücklicherweise wurde die Malware vorwiegend in den USA verbreitet, sollte also hoffentlich in Deutschland keine oder zumindest nur wenige Nutzer betroffen haben.
![Samsung Galaxy A15 4GB+128GB [International Version] (Blue Black)](https://m.media-amazon.com/images/I/210vE5wPUfL._SL160_.jpg)
![Samsung Galaxy A15 4GB+128GB [International Version] (Light Blue)](https://m.media-amazon.com/images/I/21KQfZzo5RL._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Also im Prinzip Schrottapps die kein Mensch benötigt und nur ein sehr geringer Prozentsatz verwendet hat. Und ob und was dann passiert ist…weiß man das oder nicht?
Verständnisfrage, ich steh gerade auf dem Schlauch: Befällt das nur gerootete Handys oder verschafft sich die Malware selbständig im Hintergrund Root-Rechte, um die Exploits auszuführen?
So wie ich das verstanden habe, versucht die Malware selbstständig via Exploits Root Rechte zu erlangen.
Ich würde auf letzteres tippen, sonst ist die Zielgruppe zu klein
Und welche Android Versionen sollen betroffen sein?
Dazu müsste man genauer wissen, welche Exploits die Malware probiert.
Aber im Prinzip alle Android Versionen, die eben dafür anfällig sind, unabhängig von der Version.
Relevant ist da wahrscheinlich eher, ob der entsprechende Security Patch installiert wurde oder nicht.