Abo
  • Services:
Anzeige
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Kemoge: Android-Malware löscht Virenscanner

Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Eine neue Android-Malware nutzt zahlreiche Verfahren, um das Gerät der Nutzer zu rooten. Verbreitet wird sie über aggressive Werbenetzwerke und In-App-Werbeanzeigen.

Anzeige

Eine neue Malware-Familie für Android nutzt gleich acht bekannte Root-Möglichkeiten von Googles mobilem Betriebssystem aus, um dauerhaft im System zu bleiben. Vorgestellt hat die Kemoge-Malware-Familie die Sicherheitsfirma Fireeye. Betroffen sind Apps wie Wifi Enhancer, Calculator, Talking Tom 3 und Kiss Browser.

Die Malware wird von Angreifern in alternative Appstores hochgeladen und nutzt die Icons beliebter Anwendungen, um sich zu tarnen. Die gefälschten Apps werden dann über Pop-up-Ads auf verschiedenen Webseiten und in anderen Apps beworben, um sich zu verbreiten. Nutzer müssen die Apps in den meisten Fällen selbst herunterladen, einige "aggressive Werbenetzwerke" sollen die Malware aber sogar direkt installieren können.

Beim ersten Start ermittelt Kemoge Informationen über das infizierte Gerät und lädt diese auf den Command-and-Control-Server hoch. Dann zeigt die Malware Werbeanzeigen auf dem Gerät der Nutzer an, teilweise soll dies sogar als Pop-up auf dem Homescreen der Anwender geschehen. Die Malware lädt dann den verschlüsselten Payload, in dem eine als .mp4 getarnte, passwortgeschützte Zip-Datei auf dem System entpackt wird.

In der Zip-Datei sind nach Angaben von Fireeye acht Root-Verfahren enthalten. Darunter sind mempodroid, motochopper, perf_swevent, sock_diag und put_user. Einige der Verfahren stammen vermutlich aus Open-Source-Projekten, andere nutzen kommerzielle Lösungen wie Root Dashi oder Root Master.

Nur sporadische Kommunikation mit C&C-Server

Ist das Gerät erfolgreich gerootet, führt die Malware root.sh aus, um dauerhaft im System aktiv zu bleiben (Persistenz) und ersetzt den ursprünglichen App-Launcher. Die Macher der Software haben große Anstrengungen unternommen, um unentdeckt zu bleiben, indem sie unverdächtige Domains nutzen und nur sporadisch Verbindung zum Command-and-Control-Server aufnehmen.

Der Server weist die Malware an, bestimmte Apps von dem Gerät zu entfernen und bei Bedarf neue zu installieren. Fireeye zeigt abgefangene Kommandos des Servers, mit denen die Anti-Virus-Software Lookout vom Gerät entfernt werden soll. Fireeye stellt eine Liste mit allen betroffenen Apps bereit.

Wie die Malware entfernt werden kann, schreibt Fireeye nicht. Über ein Factory-Reset dürfte das nicht möglich sein, weil bei der Prozedur nur die benutzerspezifischen Daten überschrieben werden, nicht aber /system. Ob es hilft, das System zu flashen und Android neu aufzuspielen, ist nicht bekannt. Es bleibt nur die Warnung, keine unvertrauten Apps aus unsicheren Quellen zu installieren.


eye home zur Startseite
Anonymer Nutzer 09. Okt 2015

"Standardisierter Root-Zugriff" geht überhaupt nicht,denn Linux ist nach wie vor ein...

SoniX 08. Okt 2015

Wenn man eine Firma gründet auf der Basis mit Werbung an genügend Geld zu kommen um die...

Anonymer Nutzer 08. Okt 2015

...dessen Namen man aus rechtlichen Gründen nicht kennt. Die in-app ads werden auch von...



Anzeige

Stellenmarkt
  1. Gladbacher Bank AG, Mönchengladbach
  2. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart), Yantai (China)
  3. Constantia Business Services GmbH, Pirk
  4. ETAS GmbH & Co. KG, Stuttgart


Anzeige
Spiele-Angebote
  1. 21,99€
  2. (-5%) 47,49€

Folgen Sie uns
       


  1. Umwelt

    China baut 100-Meter-Turm für die Luftreinigung

  2. Marktforschung

    Viele Android-Apps kollidieren mit kommendem EU-Datenschutz

  3. Sonic Forces

    Offenbar aktuellste Version von Denuvo geknackt

  4. KWin

    KDE beendet Funktionsentwicklung für X11

  5. Sprachassistenten

    Alexa ist Feministin

  6. Elektromobilität

    Elektroautos werden langsam beliebter in Deutschland

  7. Crypto-Bibliothek

    OpenSSL bekommt Patch-Dienstag und wird transparenter

  8. Spectre und Meltdown

    Kleine Helferlein überprüfen den Rechner

  9. Anfrage

    Senat sieht sich für WLAN im U-Bahn-Tunnel nicht zuständig

  10. Gaming

    Über 3 Millionen deutsche Spieler treiben regelmäßig E-Sport



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Zahlungsverkehr: Das Bankkonto wird offener
Zahlungsverkehr
Das Bankkonto wird offener
  1. Gerichtsurteil Internet- und Fernsehkunden müssen bei Umzug weiterzahlen
  2. Breitbandmessung Provider halten versprochene Geschwindigkeit fast nie ein
  3. EU-Verordnung Verbraucherschützer gegen Netzsperren zum Verbraucherschutz

Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

BeA: Soldan will Anwälten das Internet ausdrucken
BeA
Soldan will Anwälten das Internet ausdrucken
  1. BeA Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein
  2. Chipkarten-Hersteller Thales übernimmt Gemalto
  3. Atos Gemalto bekommt 4,3-Milliarden-Euro-Angebot

  1. Re: Reichweite nach WLTP??

    thinksimple | 23:16

  2. Re: Marketing?

    thinksimple | 23:09

  3. Re: Windows 10 Patches?

    AphexTwin | 23:06

  4. Re: Oh Wunder oh Wunder

    thinksimple | 23:04

  5. Re: Ich soll also

    Riemen | 23:03


  1. 18:19

  2. 17:43

  3. 17:38

  4. 15:30

  5. 15:02

  6. 14:24

  7. 13:28

  8. 13:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel