Play Store: Android-Malware rootet Smartphone

Die Schadsoftware Abstractemu wurde über verschiedene App Stores verbreitet und kann Android-Geräte komplett übernehmen.

Artikel veröffentlicht am ,
Die Schadsoftware versucht, Android über Sicherheitslücken zu rooten.
Die Schadsoftware versucht, Android über Sicherheitslücken zu rooten. (Bild: andrekheren/Pixabay)

Die neue Android-Malware Abstractemu versucht, infizierte Geräte zu rooten und so die vollständige Kontrolle über das Smartphone übernehmen. Die Schadsoftware, die sich über den Google Play Store und andere App Stores verbreitet, wurde von der Sicherheitsfirma Lookout entdeckt und analysiert.

Stellenmarkt
  1. Expertinnen / Experten (m/w/d) in Automotive-IT für die operative Einsatztechnik
    Bundesamt für Verfassungsschutz, Köln
  2. Wissenschaftliche Referentinnen oder Wissenschaftliche Referenten (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin
Detailsuche

Insgesamt 19 Apps, mit deren Hilfe sich die Schadsoftware verbreitet, konnten die Sicherheitsforscher Kristina Balaam und Paul Shunk entdecken. Darunter Passwortmanager oder App-Starter, die allesamt auch die versprochenen Funktionen enthalten, damit sie keinen Verdacht erregen, eine Schadsoftware zu sein. Lookout nennt folgende betroffene Apps: Anti-ads Browser, Data Saver, Lite Launcher, My Phone, Night Light, All Passwords und Phone Plus.

Allein die App Lite Launcher hatte im Play Store über 10.000 Downloads. Nachdem Lookout die Schadapps gemeldet hatte, wurden sie von Google aus dem Play Store entfernt. In anderen Stores wie Amazon Appstore, dem Samsung Galaxy Store, Aptoide und APKPure könnten sie jedoch weiterhin verfügbar sein, berichtet das Onlinemagazin Bleepingcomputer.

Abstractemu rootet Smartphones über Sicherheitslücken

"Abstractemu verfügt über keine ausgefeilte Zero-Click-Remote-Exploit-Funktionalität, wie sie bei fortgeschrittenen APT-Bedrohungen verwendet wird, sondern wird einfach dadurch aktiviert, dass der Nutzer die App öffnet", schreiben Balaam und Shunk. Da sich die Malware als funktionale Apps tarnt, wird sie in den meisten Fällen kurz nach der Installation von den Nutzern gestartet.

Golem Karrierewelt
  1. Git Grundlagen: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    19.-22.12.2022, virtuell
Weitere IT-Trainings

Um die Geräte zu rooten, verwendet Abstractemu mehrere Exploits, die verschiedene Android-Sicherheitslücken aus den vergangenen Jahren ausnutzen, sofern diese in der verwendeten Android-Version noch nicht geschlossen wurden. "Einer der Exploits nutzte CVE-2020-0041, eine Schwachstelle, die bisher noch nicht in freier Wildbahn von Android-Apps ausgenutzt wurde. Ein anderer Exploit zielte auf CVE-2020-0069 ab, eine Schwachstelle, die in Mediatek-Chips gefunden wurde, die von Dutzenden von Smartphone-Herstellern verwendet werden, die zusammen Millionen von Geräten verkauft haben", schreiben Balaam und Shunk.

Dabei hätten die Schadsoftwareautoren den öffentlich verfügbaren Exploit-Code (CVE-2019-2215, CVE-2020-0041) so modifiziert, dass weitere Geräte angegriffen werden können. CVE-2019-2215 soll auch aktiv von dem israelischen Trojaner-Hersteller NSO Group genutzt worden sein, die den auch in Deutschland eingesetzten Staatstrojaner Pegasus vertreiben.

Schadsoftware kann Passwort zurücksetzen

"Dies ist eine bedeutende Entdeckung, da weit verbreitete Malware mit Root-Funktionen in den letzten fünf Jahren selten geworden ist", so die Lookout-Forscher. "Indem der Bedrohungsakteur den Rooting-Prozess nutzt, um privilegierten Zugriff auf das Android-Betriebssystem zu erlangen, kann er sich unbemerkt gefährliche Berechtigungen erteilen oder zusätzliche Malware installieren - Schritte, die normalerweise eine Interaktion des Benutzers erfordern würden."

Nach der Installation wartet die Schadsoftware auf Befehle von einem Command-and-Control-Server. Anschließend werden die Geräte gerootet, weitere Anwendungen installiert oder Dateien exfiltriert. Nach dem Rooten kann die Schadsoftware beispielsweise Screenshots erstellen oder den Bildschirm aufzeichnen. Auch eine Sperre des Gerätes oder ein Zurücksetzen des Gerätepasswortes sind möglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Paramount+ im Test
Paramounts peinliche Premiere

Ein kleiner Katalog an Filmen und Serien, gepaart mit vielen technischen Einschränkungen. So wird Paramount+ Disney+, Netflix und Prime Video nicht gefährlich.
Ein Test von Ingo Pakalski

Paramount+ im Test: Paramounts peinliche Premiere
Artikel
  1. Sicherheit: FBI ist zutiefst besorgt über Apples neue Verschlüsselung
    Sicherheit
    FBI ist "zutiefst besorgt" über Apples neue Verschlüsselung

    Das FBI könnte mit Apples Advanced Data Protection seinen wichtigsten Zugang zu iPhones verlieren. Doch dafür muss die Funktion von Nutzern aktiviert werden.

  2. Smartphones: Huawei schliesst große Patentverträge mit Oppo und Samsung
    Smartphones
    Huawei schliesst große Patentverträge mit Oppo und Samsung

    Huawei hat sich mit den großen Smartphoneherstellern Oppo und Samsung geeinigt, Patente zu tauschen und dafür zu zahlen.

  3. Intellectual Property: Wie aus der CPU ein System-on-Chip wird
    Intellectual Property
    Wie aus der CPU ein System-on-Chip wird

    Moderne Chips bestehen längst nicht mehr nur aus der CPU, sondern aus Hunderten Komponenten. Daher ist es nahezu unmöglich, einen Prozessor selbst zu entwickeln. Wir erklären wieso!
    Eine Analyse von Martin Böckmann

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore -37% • Asus RTX 4080 1.399€ • PS5 bestellbar • Gaming-Laptops & Desktop-PCs -29% • MindStar: Sapphire RX 6900 XT 799€ statt 1.192€, Apple iPad (2022) 256 GB 599€ statt 729€ • Samsung SSDs -28% • Logitech Mäuse, Tastaturen & Headsets -53% [Werbung]
    •  /