Abo
  • Services:
Anzeige
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Kemoge: Android-Malware löscht Virenscanner

Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen.
Die Malware nutzt die Symbole beliebter Apps, um sich zu tarnen. (Bild: Fireeye)

Eine neue Android-Malware nutzt zahlreiche Verfahren, um das Gerät der Nutzer zu rooten. Verbreitet wird sie über aggressive Werbenetzwerke und In-App-Werbeanzeigen.

Anzeige

Eine neue Malware-Familie für Android nutzt gleich acht bekannte Root-Möglichkeiten von Googles mobilem Betriebssystem aus, um dauerhaft im System zu bleiben. Vorgestellt hat die Kemoge-Malware-Familie die Sicherheitsfirma Fireeye. Betroffen sind Apps wie Wifi Enhancer, Calculator, Talking Tom 3 und Kiss Browser.

Die Malware wird von Angreifern in alternative Appstores hochgeladen und nutzt die Icons beliebter Anwendungen, um sich zu tarnen. Die gefälschten Apps werden dann über Pop-up-Ads auf verschiedenen Webseiten und in anderen Apps beworben, um sich zu verbreiten. Nutzer müssen die Apps in den meisten Fällen selbst herunterladen, einige "aggressive Werbenetzwerke" sollen die Malware aber sogar direkt installieren können.

Beim ersten Start ermittelt Kemoge Informationen über das infizierte Gerät und lädt diese auf den Command-and-Control-Server hoch. Dann zeigt die Malware Werbeanzeigen auf dem Gerät der Nutzer an, teilweise soll dies sogar als Pop-up auf dem Homescreen der Anwender geschehen. Die Malware lädt dann den verschlüsselten Payload, in dem eine als .mp4 getarnte, passwortgeschützte Zip-Datei auf dem System entpackt wird.

In der Zip-Datei sind nach Angaben von Fireeye acht Root-Verfahren enthalten. Darunter sind mempodroid, motochopper, perf_swevent, sock_diag und put_user. Einige der Verfahren stammen vermutlich aus Open-Source-Projekten, andere nutzen kommerzielle Lösungen wie Root Dashi oder Root Master.

Nur sporadische Kommunikation mit C&C-Server

Ist das Gerät erfolgreich gerootet, führt die Malware root.sh aus, um dauerhaft im System aktiv zu bleiben (Persistenz) und ersetzt den ursprünglichen App-Launcher. Die Macher der Software haben große Anstrengungen unternommen, um unentdeckt zu bleiben, indem sie unverdächtige Domains nutzen und nur sporadisch Verbindung zum Command-and-Control-Server aufnehmen.

Der Server weist die Malware an, bestimmte Apps von dem Gerät zu entfernen und bei Bedarf neue zu installieren. Fireeye zeigt abgefangene Kommandos des Servers, mit denen die Anti-Virus-Software Lookout vom Gerät entfernt werden soll. Fireeye stellt eine Liste mit allen betroffenen Apps bereit.

Wie die Malware entfernt werden kann, schreibt Fireeye nicht. Über ein Factory-Reset dürfte das nicht möglich sein, weil bei der Prozedur nur die benutzerspezifischen Daten überschrieben werden, nicht aber /system. Ob es hilft, das System zu flashen und Android neu aufzuspielen, ist nicht bekannt. Es bleibt nur die Warnung, keine unvertrauten Apps aus unsicheren Quellen zu installieren.


eye home zur Startseite
Anonymer Nutzer 09. Okt 2015

"Standardisierter Root-Zugriff" geht überhaupt nicht,denn Linux ist nach wie vor ein...

SoniX 08. Okt 2015

Wenn man eine Firma gründet auf der Basis mit Werbung an genügend Geld zu kommen um die...

Anonymer Nutzer 08. Okt 2015

...dessen Namen man aus rechtlichen Gründen nicht kennt. Die in-app ads werden auch von...



Anzeige

Stellenmarkt
  1. LAWO Informationssysteme GmbH, Rastatt
  2. BAUSCH+STRÖBEL Maschinenfabrik Ilshofen GmbH+Co. KG, Ilshofen
  3. Stadler Pankow GmbH, Berlin
  4. HAMBURG SÜD Schifffahrtsgruppe, Hamburg


Anzeige
Spiele-Angebote
  1. 1,49€
  2. 199€ - Release 13.10.
  3. 9,99€

Folgen Sie uns
       


  1. Banking-App

    Outbank im Insolvenzverfahren

  2. Glasfaser

    Telekom wegen fehlendem FTTH massiv unter Druck

  3. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  4. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  5. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  6. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  7. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  8. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  9. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln

  10. Arbeitsspeicher

    DDR5 nutzt Spannungsversorgung auf dem Modul



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Die Woche im Video Schwachstellen, wohin man schaut
  2. Drei Modelle vorgestellt Elektrokleinwagen e.Go erhöht die Spannung
  3. Automated Valet Parking Lass das Parkhaus das Auto parken!

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Re: Virus macht Rechner putt

    Scorcher24 | 22:12

  2. Re: Steam-Provision?

    nille02 | 22:11

  3. Re: Die HUK ist doch schon lange nicht mehr gelistet

    nicoledos | 22:08

  4. Re: Oh man wie hab ich drauf gewartet!

    Schrödinger's... | 22:07

  5. Re: Apropos BluRay...

    ManMashine | 22:05


  1. 19:13

  2. 18:36

  3. 17:20

  4. 17:00

  5. 16:44

  6. 16:33

  7. 16:02

  8. 15:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel