Neue Android-Malware nutzt Linux-Kernellücke Dirty Cow

von Stefan Beiersmann am , 08:12 Uhr

Die Schadsoftware ZNUI installiert eine Backdoor mit Root-Rechten. In China nutzt sie SMS-Bezahldienste, um Geld von den Konten der Opfer abzuzweigen. Google Play Protect soll Nutzer inzwischen für den rund 300.000 mit ZNUI infizierten Apps schützen.

Trend Micro hat eine neue Schadsoftware für Google [1] Android [2] entdeckt. Sie nutzt eine fast zehn Jahre alte Sicherheitslücke im Linux-Kernel namens Dirty Cow, die Angreifern Root-Rechte gewährt. Obwohl seitens Google seit November 2016 ein Patch vorliegt [3], sorgt die hohe Fragmentierung des Mobilbetriebssystem dafür, dass immer noch zahlreiche Smartphones und Tablets anfällig für die von Trend Micro ZNIU [4] genannte Malware sind.

App-Malware (Bild: Shutterstock) [5]Erstmals tauchte sie demnach im August in mehr als 40 Ländern weltweit auf, darunter Deutschland, Japan, Kanada und die USA. Die meisten Infektion fand Trend Micro jedoch in China und Indien. Die Verbreitung erfolgt über mehr als 300.000 Malware-Apps, die sich unter anderem als Spiele und Pornographie-Apps tarnen und auf schädlichen Websites zum Download angeboten werden.

Allerdings nutzt ZNIU die Dirty-Cow-Lücke nur auf Android-Geräten mit 64-Bit-Prozessoren von ARM [6] oder Intel [7] aus. Der Schädling umgeht laut Trend Micro SELinux und richtet eine Root-Backdoor ein. Dafür nutzt er vier unterschiedliche Rootkits. Um auch 32-Bit-Geräte angreifen zu können, hat ZNIU zwei weitere Rootkits im Gepäck: KingoRoot und Iovyroot.

Wird ZNIU ausgeführt, kontaktiert es einen Befehlsserver und sucht nach möglichen Updates für seinen Code. Zudem wird die Dirty-Cow-Schwachstelle benutzt, um Einschränkungen des Betriebssystems zu umgehen und die Hintertür für künftige Fernzugriffe einzurichten. Anschließend sammelt die Malware alle Informationen über den Mobilfunkanbieter, um sich als Geräteeigentümer auszugeben und per SMS über einen Bezahldienst des Mobilfunkanbieters Geld an die Hintermänner zu überweisen – bisher allerdings nur in China. Dabei werden Beträge von umgerechnet 3 Dollar monatlich nicht überschritten.

Nutzer des Google Play Store sind indes vor ZNIU geschützt. Wie Google bestätigte, ist die Sicherheitsfunktion Play Protect in der Lage, die fraglichen Apps zu erkennen.

Wie viele Android-Geräte anfällig für Dirty Cow sind, ist nicht bekannt. Laut Trend Micro funktionierte ein im vergangenen Jahr entwickelter Proof-of-Concept für einen Dirty-Cow-Exploit auf allen noch unterstützten Android-Versionen.

ANZEIGE

Indoor Digitalisierung: Innenräume einfach digitalisieren [8]

Digitale Gebäude- und Rettungspläne, per Smartphone zum Gate navigieren, Häuser und Wohnungen per 3-D-Rundgang auf dem Tablet besichtigen oder 360-Grad-Einblicke in Hotelzimmer erhaschen: Mit der Indoor Digitalisierung bietet die Deutsche Telekom die großflächige Visualisierung von Innenräumen und eine präzise Navigation aus einer Hand – „gehostet in Germany“.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de [9]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88313679/neue-android-malware-nutzt-linux-kernelluecke-dirty-cow/

URLs in this post:

[1] Google: http://www.zdnet.de/unternehmen/google/

[2] Android: http://www.zdnet.de/themen/android/

[3] seit November 2016 ein Patch vorliegt: http://www.zdnet.de/88282447/google-schliesst-24-kritische-luecken-in-android/

[4] ZNIU: http://blog.trendmicro.com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability/

[5] Image: http://www.zdnet.de/wp-content/uploads/2016/02/App-Malware-shutterstock-RealVector-800.jpg

[6] ARM: http://www.zdnet.de/unternehmen/arm/

[7] Intel: http://www.zdnet.de/unternehmen/intel/

[8] Indoor Digitalisierung: Innenräume einfach digitalisieren: http://www.zdnet.de/88309827/indoor-digitalisierung-innenraeume-einfach-digitalisieren/

[9] Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de: http://www.silicon.de/survey/sind-sie-ein-android-kenner/