Neue Android-Malware nutzt Linux-Kernellücke Dirty Cow

Die Schadsoftware ZNUI installiert eine Backdoor mit Root-Rechten. In China nutzt sie SMS-Bezahldienste, um Geld von den Konten der Opfer abzuzweigen. Google Play Protect soll Nutzer inzwischen für den rund 300.000 mit ZNUI infizierten Apps schützen.

Trend Micro hat eine neue Schadsoftware für Google Android entdeckt. Sie nutzt eine fast zehn Jahre alte Sicherheitslücke im Linux-Kernel namens Dirty Cow, die Angreifern Root-Rechte gewährt. Obwohl seitens Google seit November 2016 ein Patch vorliegt, sorgt die hohe Fragmentierung des Mobilbetriebssystem dafür, dass immer noch zahlreiche Smartphones und Tablets anfällig für die von Trend Micro ZNIU genannte Malware sind.

App-Malware (Bild: Shutterstock)Erstmals tauchte sie demnach im August in mehr als 40 Ländern weltweit auf, darunter Deutschland, Japan, Kanada und die USA. Die meisten Infektion fand Trend Micro jedoch in China und Indien. Die Verbreitung erfolgt über mehr als 300.000 Malware-Apps, die sich unter anderem als Spiele und Pornographie-Apps tarnen und auf schädlichen Websites zum Download angeboten werden.

Allerdings nutzt ZNIU die Dirty-Cow-Lücke nur auf Android-Geräten mit 64-Bit-Prozessoren von ARM oder Intel aus. Der Schädling umgeht laut Trend Micro SELinux und richtet eine Root-Backdoor ein. Dafür nutzt er vier unterschiedliche Rootkits. Um auch 32-Bit-Geräte angreifen zu können, hat ZNIU zwei weitere Rootkits im Gepäck: KingoRoot und Iovyroot.

Wird ZNIU ausgeführt, kontaktiert es einen Befehlsserver und sucht nach möglichen Updates für seinen Code. Zudem wird die Dirty-Cow-Schwachstelle benutzt, um Einschränkungen des Betriebssystems zu umgehen und die Hintertür für künftige Fernzugriffe einzurichten. Anschließend sammelt die Malware alle Informationen über den Mobilfunkanbieter, um sich als Geräteeigentümer auszugeben und per SMS über einen Bezahldienst des Mobilfunkanbieters Geld an die Hintermänner zu überweisen – bisher allerdings nur in China. Dabei werden Beträge von umgerechnet 3 Dollar monatlich nicht überschritten.

Nutzer des Google Play Store sind indes vor ZNIU geschützt. Wie Google bestätigte, ist die Sicherheitsfunktion Play Protect in der Lage, die fraglichen Apps zu erkennen.

Wie viele Android-Geräte anfällig für Dirty Cow sind, ist nicht bekannt. Laut Trend Micro funktionierte ein im vergangenen Jahr entwickelter Proof-of-Concept für einen Dirty-Cow-Exploit auf allen noch unterstützten Android-Versionen.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Linux, Malware, Security, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Android-Malware nutzt Linux-Kernellücke Dirty Cow

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *