Abo
  • Services:
Anzeige
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Kemoge: Android-Malware löscht Virenscanner

Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Eine neue Android-Malware nutzt zahlreiche Verfahren, um das Gerät der Nutzer zu rooten. Verbreitet wird sie über aggressive Werbenetzwerke und In-App-Werbeanzeigen.

Anzeige

Eine neue Malware-Familie für Android nutzt gleich acht bekannte Root-Möglichkeiten von Googles mobilem Betriebssystem aus, um dauerhaft im System zu bleiben. Vorgestellt hat die Kemoge-Malware-Familie die Sicherheitsfirma Fireeye. Betroffen sind Apps wie Wifi Enhancer, Calculator, Talking Tom 3 und Kiss Browser.

Die Malware wird von Angreifern in alternative Appstores hochgeladen und nutzt die Icons beliebter Anwendungen, um sich zu tarnen. Die gefälschten Apps werden dann über Pop-up-Ads auf verschiedenen Webseiten und in anderen Apps beworben, um sich zu verbreiten. Nutzer müssen die Apps in den meisten Fällen selbst herunterladen, einige "aggressive Werbenetzwerke" sollen die Malware aber sogar direkt installieren können.

Beim ersten Start ermittelt Kemoge Informationen über das infizierte Gerät und lädt diese auf den Command-and-Control-Server hoch. Dann zeigt die Malware Werbeanzeigen auf dem Gerät der Nutzer an, teilweise soll dies sogar als Pop-up auf dem Homescreen der Anwender geschehen. Die Malware lädt dann den verschlüsselten Payload, in dem eine als .mp4 getarnte, passwortgeschützte Zip-Datei auf dem System entpackt wird.

In der Zip-Datei sind nach Angaben von Fireeye acht Root-Verfahren enthalten. Darunter sind mempodroid, motochopper, perf_swevent, sock_diag und put_user. Einige der Verfahren stammen vermutlich aus Open-Source-Projekten, andere nutzen kommerzielle Lösungen wie Root Dashi oder Root Master.

Nur sporadische Kommunikation mit C&C-Server

Ist das Gerät erfolgreich gerootet, führt die Malware root.sh aus, um dauerhaft im System aktiv zu bleiben (Persistenz) und ersetzt den ursprünglichen App-Launcher. Die Macher der Software haben große Anstrengungen unternommen, um unentdeckt zu bleiben, indem sie unverdächtige Domains nutzen und nur sporadisch Verbindung zum Command-and-Control-Server aufnehmen.

Der Server weist die Malware an, bestimmte Apps von dem Gerät zu entfernen und bei Bedarf neue zu installieren. Fireeye zeigt abgefangene Kommandos des Servers, mit denen die Anti-Virus-Software Lookout vom Gerät entfernt werden soll. Fireeye stellt eine Liste mit allen betroffenen Apps bereit.

Wie die Malware entfernt werden kann, schreibt Fireeye nicht. Über ein Factory-Reset dürfte das nicht möglich sein, weil bei der Prozedur nur die benutzerspezifischen Daten überschrieben werden, nicht aber /system. Ob es hilft, das System zu flashen und Android neu aufzuspielen, ist nicht bekannt. Es bleibt nur die Warnung, keine unvertrauten Apps aus unsicheren Quellen zu installieren.


eye home zur Startseite
Anonymer Nutzer 09. Okt 2015

"Standardisierter Root-Zugriff" geht überhaupt nicht,denn Linux ist nach wie vor ein...

SoniX 08. Okt 2015

Wenn man eine Firma gründet auf der Basis mit Werbung an genügend Geld zu kommen um die...

Anonymer Nutzer 08. Okt 2015

...dessen Namen man aus rechtlichen Gründen nicht kennt. Die in-app ads werden auch von...



Anzeige

Stellenmarkt
  1. INTENSE AG, Würzburg, Köln (Home-Office möglich)
  2. access Automotive Career Event, Nürnberg
  3. über Robert Half Technology, Gladbeck
  4. T-Systems International GmbH, München, Hannover, Münster, Frankfurt/Main, Düsseldorf


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 349,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Dice

    Kampagne von Battlefield 1 spielt an vielen Fronten

  2. NBase-T alias 802.3bz

    2.5GbE und 5GbE sind offizieller IEEE-Standard

  3. Samsung-Rückrufaktion

    Bereits 60 Prozent der Note-7-Geräte in Europa ausgetauscht

  4. Mavic Pro

    DJI stellt klappbaren 4K-Quadcopter für 1.200 US-Dollar vor

  5. Streamripper

    Musikindustrie will Youtube-mp3.org zerstören

  6. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  7. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  8. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  9. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  10. Project Catapult

    Microsoft setzt massiv auf FPGAs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

X1D ausprobiert: Die Hasselblad für Einsteiger
X1D ausprobiert
Die Hasselblad für Einsteiger
  1. Modulares Smartphone Lenovo bringt Moto Z mit Moto Z Play nach Deutschland
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab

  1. Re: Ich finde diese Spekulationen lustig

    lear | 02:02

  2. Re: Wo werden die Daten gespeichert?

    Llame | 01:47

  3. Re: 1+N-Tonnen-System

    Carlo Escobar | 01:45

  4. Re: warum Urheberrecht-Verletzung?

    Prinzeumel | 01:43

  5. Auch im incognito mode?

    Llame | 01:42


  1. 20:57

  2. 18:35

  3. 18:03

  4. 17:50

  5. 17:41

  6. 15:51

  7. 15:35

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel