Abo
  • Services:
Anzeige
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Kemoge: Android-Malware löscht Virenscanner

Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Eine neue Android-Malware nutzt zahlreiche Verfahren, um das Gerät der Nutzer zu rooten. Verbreitet wird sie über aggressive Werbenetzwerke und In-App-Werbeanzeigen.

Anzeige

Eine neue Malware-Familie für Android nutzt gleich acht bekannte Root-Möglichkeiten von Googles mobilem Betriebssystem aus, um dauerhaft im System zu bleiben. Vorgestellt hat die Kemoge-Malware-Familie die Sicherheitsfirma Fireeye. Betroffen sind Apps wie Wifi Enhancer, Calculator, Talking Tom 3 und Kiss Browser.

Die Malware wird von Angreifern in alternative Appstores hochgeladen und nutzt die Icons beliebter Anwendungen, um sich zu tarnen. Die gefälschten Apps werden dann über Pop-up-Ads auf verschiedenen Webseiten und in anderen Apps beworben, um sich zu verbreiten. Nutzer müssen die Apps in den meisten Fällen selbst herunterladen, einige "aggressive Werbenetzwerke" sollen die Malware aber sogar direkt installieren können.

Beim ersten Start ermittelt Kemoge Informationen über das infizierte Gerät und lädt diese auf den Command-and-Control-Server hoch. Dann zeigt die Malware Werbeanzeigen auf dem Gerät der Nutzer an, teilweise soll dies sogar als Pop-up auf dem Homescreen der Anwender geschehen. Die Malware lädt dann den verschlüsselten Payload, in dem eine als .mp4 getarnte, passwortgeschützte Zip-Datei auf dem System entpackt wird.

In der Zip-Datei sind nach Angaben von Fireeye acht Root-Verfahren enthalten. Darunter sind mempodroid, motochopper, perf_swevent, sock_diag und put_user. Einige der Verfahren stammen vermutlich aus Open-Source-Projekten, andere nutzen kommerzielle Lösungen wie Root Dashi oder Root Master.

Nur sporadische Kommunikation mit C&C-Server

Ist das Gerät erfolgreich gerootet, führt die Malware root.sh aus, um dauerhaft im System aktiv zu bleiben (Persistenz) und ersetzt den ursprünglichen App-Launcher. Die Macher der Software haben große Anstrengungen unternommen, um unentdeckt zu bleiben, indem sie unverdächtige Domains nutzen und nur sporadisch Verbindung zum Command-and-Control-Server aufnehmen.

Der Server weist die Malware an, bestimmte Apps von dem Gerät zu entfernen und bei Bedarf neue zu installieren. Fireeye zeigt abgefangene Kommandos des Servers, mit denen die Anti-Virus-Software Lookout vom Gerät entfernt werden soll. Fireeye stellt eine Liste mit allen betroffenen Apps bereit.

Wie die Malware entfernt werden kann, schreibt Fireeye nicht. Über ein Factory-Reset dürfte das nicht möglich sein, weil bei der Prozedur nur die benutzerspezifischen Daten überschrieben werden, nicht aber /system. Ob es hilft, das System zu flashen und Android neu aufzuspielen, ist nicht bekannt. Es bleibt nur die Warnung, keine unvertrauten Apps aus unsicheren Quellen zu installieren.


eye home zur Startseite
Anonymer Nutzer 09. Okt 2015

"Standardisierter Root-Zugriff" geht überhaupt nicht,denn Linux ist nach wie vor ein...

SoniX 08. Okt 2015

Wenn man eine Firma gründet auf der Basis mit Werbung an genügend Geld zu kommen um die...

Anonymer Nutzer 08. Okt 2015

...dessen Namen man aus rechtlichen Gründen nicht kennt. Die in-app ads werden auch von...



Anzeige

Stellenmarkt
  1. LucaNet AG, München
  2. Stadtverwaltung Maintal, Maintal
  3. Interhyp Gruppe, München
  4. Media-Saturn E-Business Concepts & Services GmbH, Ingolstadt


Anzeige
Spiele-Angebote
  1. 49,99€ (Vorbesteller-Preisgarantie)
  2. 209,99€/219,99€ (Vorbesteller-Preisgarantie)
  3. 59,99€/69,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Gigafactory

    Teslas Gigantomanie in Weiß und Rot

  2. Cloud-Speicher

    Amazon bietet unbegrenzten Speicherplatz für 70 Euro im Jahr

  3. Rechtsstreit

    Nvidia zahlt 30 US-Dollar für 512 MByte

  4. Formel E

    Die Elektrorenner bekommen einen futuristischen Frontflügel

  5. Familienmediathek

    Google lässt gekaufte Play-Store-Inhalte teilen

  6. Nokia

    Microsoft weitet Massenentlassungen in Smartphone-Sparte aus

  7. Actionkameras gefloppt

    Gopro halbiert seinen Umsatz

  8. Bankkonto entfernt

    Paypal hat Probleme mit Lastschriftzahlungen

  9. Apple

    Eine Milliarde iPhones verkauft

  10. Polaris-Grafikkarten

    AMD stellt Radeon RX 470 und RX 460 vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

Huawei Matebook im Test: Guter Laptop-Ersatz mit zu starker Konkurrenz
Huawei Matebook im Test
Guter Laptop-Ersatz mit zu starker Konkurrenz
  1. Netze Huawei steigert Umsatz stark
  2. Huawei Österreich führt Hybridtechnik ein
  3. Huawei Deutsche Telekom testet LTE-V auf der A9

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

  1. Re: 59 USD werden zu 70 Euro

    Lord Gamma | 11:58

  2. Re: Wo ist der Haken?

    HSB-Admin | 11:58

  3. Re: Liebe Spiele-Entwickler

    UdoBerger | 11:57

  4. Re: Cortana ohne Mikro

    My1 | 11:57

  5. Nette Extra-Features wie

    Missingno. | 11:56


  1. 12:01

  2. 11:39

  3. 11:23

  4. 11:18

  5. 10:36

  6. 10:28

  7. 07:39

  8. 07:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel