Categories: MobileMobile OS

Neue Android-Malware nutzt Linux-Kernellücke Dirty Cow

Trend Micro hat eine neue Schadsoftware für Google Android entdeckt. Sie nutzt eine fast zehn Jahre alte Sicherheitslücke im Linux-Kernel namens Dirty Cow, die Angreifern Root-Rechte gewährt. Obwohl seitens Google seit November 2016 ein Patch vorliegt, sorgt die hohe Fragmentierung des Mobilbetriebssystem dafür, dass immer noch zahlreiche Smartphones und Tablets anfällig für die von Trend Micro ZNIU genannte Malware sind.

Erstmals tauchte sie demnach im August in mehr als 40 Ländern weltweit auf, darunter Deutschland, Japan, Kanada und die USA. Die meisten Infektion fand Trend Micro jedoch in China und Indien. Die Verbreitung erfolgt über mehr als 300.000 Malware-Apps, die sich unter anderem als Spiele und Pornographie-Apps tarnen und auf schädlichen Websites zum Download angeboten werden.

Allerdings nutzt ZNIU die Dirty-Cow-Lücke nur auf Android-Geräten mit 64-Bit-Prozessoren von ARM oder Intel aus. Der Schädling umgeht laut Trend Micro SELinux und richtet eine Root-Backdoor ein. Dafür nutzt er vier unterschiedliche Rootkits. Um auch 32-Bit-Geräte angreifen zu können, hat ZNIU zwei weitere Rootkits im Gepäck: KingoRoot und Iovyroot.

Wird ZNIU ausgeführt, kontaktiert es einen Befehlsserver und sucht nach möglichen Updates für seinen Code. Zudem wird die Dirty-Cow-Schwachstelle benutzt, um Einschränkungen des Betriebssystems zu umgehen und die Hintertür für künftige Fernzugriffe einzurichten. Anschließend sammelt die Malware alle Informationen über den Mobilfunkanbieter, um sich als Geräteeigentümer auszugeben und per SMS über einen Bezahldienst des Mobilfunkanbieters Geld an die Hintermänner zu überweisen – bisher allerdings nur in China. Dabei werden Beträge von umgerechnet 3 Dollar monatlich nicht überschritten.

Nutzer des Google Play Store sind indes vor ZNIU geschützt. Wie Google bestätigte, ist die Sicherheitsfunktion Play Protect in der Lage, die fraglichen Apps zu erkennen.

Wie viele Android-Geräte anfällig für Dirty Cow sind, ist nicht bekannt. Laut Trend Micro funktionierte ein im vergangenen Jahr entwickelter Proof-of-Concept für einen Dirty-Cow-Exploit auf allen noch unterstützten Android-Versionen.

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

>> zum Whitepaper

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.