Rooting-Malware ist zurück auf dem Handy. Worauf Sie achten sollten.

  • Hank Schless, Senior Manager für Sicherheitslösungen bei Lookout, spricht über AbstractEmu, mobile Malware, die bei Google Play, Amazon Appstore und dem Samsung Galaxy Store gefunden wurde.

    In den letzten Jahren, als das Android-Ökosystem reifer wurde, ist weit verbreitete Malware mit Rooting-Fähigkeiten selten geworden. Ihre Seltenheit bedeutet jedoch nicht, dass sie keine Bedrohung mehr darstellt.

    Per Definition ist Rooting-Malware extrem gefährlich, da sie privilegierten Zugriff auf das Android-Betriebssystem erlangen kann. Dadurch kann die Malware sich selbst weitere Berechtigungen erteilen, Systemeinstellungen ändern und zusätzliche Malware installieren – Schritte, die normalerweise eine Interaktion des Benutzers erfordern. Bewaffnet mit diesen invasiven Kontrollen können Bedrohungsakteure dann gezielte Phishing-Angriffe durchführen, sensible Daten stehlen, die zur Kompromittierung von Benutzerkonten benötigt werden, oder Überwachungen durchführen.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    Vor kurzem hat das Lookout Threat Lab die erste weit verbreitete Rooting-Malware-Kampagne seit fünf Jahren aufgedeckt. Die Malware mit dem Namen AbstractEmu wurde bei Google Play und anderen bekannten App-Stores von Drittanbietern wie dem Amazon Appstore und dem Samsung Galaxy Store gefunden, da sie Code-Extraktion und Anti-Emulations-Checks nutzt, um nicht entdeckt zu werden. Lookout benachrichtigte Google und die Apps wurden umgehend entfernt.

    Am Beispiel von AbstractEmu. Hier sind einige Dinge, auf die Sie achten sollten, um sicherzustellen, dass Sie nicht Opfer von Rooting-Malware werden.

    Schwachstellen gibt es zuhauf

    AbstractEmu ist ein großartiges Beispiel dafür, wie Bedrohungsakteure Rooting-Exploits nutzen können, um wahllos die breite Bevölkerung anzugreifen. Die meisten Schwachstellen werden nach ihrer Entdeckung durch Updates behoben. Die Benutzer sind jedoch nur dann geschützt, wenn sie sich die Zeit nehmen, ihre Geräte zu aktualisieren.

    Im Android-Ökosystem gibt es zahlreiche Schwachstellen, die sich hervorragend ausnutzen lassen. Diese Kampagne zielt auf sehr aktuelle Schwachstellen aus den Jahren 2019 und 2020 ab, darunter CVE-2020-0041, eine Schwachstelle, die bisher noch nie in freier Wildbahn genutzt wurde. AbstractEmu zielt auch auf CVE-2020-0069 ab, eine Schwachstelle in MediaTek-Chips, die von Dutzenden von Smartphone-Herstellern verwendet werden. Insgesamt sind Millionen von Geräten von dieser Sicherheitslücke betroffen.

    Die Dinge sind nicht immer das, was sie zu sein scheinen: Trojanisierte Apps

    Etwas, das nicht nur für Rooting-Malware typisch ist, aber die Verbreitung der AbstractEmu-Kampagne begünstigt hat, ist die Trojanisierung von Apps. Indem der Bedrohungsakteur seine böswilligen Absichten hinter scheinbar harmlosen Apps verbirgt, kann er ahnungslose Benutzer zum Herunterladen der Malware verleiten.

    Lookout-Forscher fanden insgesamt 19 Apps, die mit der Malware in Verbindung stehen, von denen sieben Rooting-Funktionen enthielten. Eine App, die bei Google Play gefunden wurde, wurde nachweislich mehr als 10.000 Mal heruntergeladen. AbstractEmu tarnte sich als eine Reihe verschiedener Apps, darunter Dienstprogramme wie Passwortmanager und Systemtools wie App-Starter oder Datensparer.

    AbstractEmu verfügt nicht über die ausgefeilte Zero-Click-Remote-Exploit-Funktionalität, die bei fortgeschrittenen APT-Bedrohungen wie Pegasus zum Einsatz kommt. Diese Funktion ist jedoch auch nicht erforderlich, da die Malware aktiviert wird, wenn der Benutzer die trojanisierte Anwendung kurz nach dem Herunterladen öffnet.

    Selten oder nicht, verwenden Sie immer die besten Praktiken für die Cybersicherheit

    Schützen Sie sich vor AbstractEmu hebt einige bewährte Verfahren für die Cybersicherheit hervor, die wir alle beachten sollten, egal ob Sie ein IT-Fachmann oder eine Privatperson sind. Mit Tablets und Smartphones bleiben die meisten von uns beruflich und privat in Verbindung, was bedeutet, dass sie eine immense Menge an Daten speichern. Diese Geräte sind außerdem sehr ausgeklügelt und verfügen über unzählige Funktionen, die sich bösartige Akteure zunutze machen können.

    Um sich und Ihr Unternehmen zu schützen, sollten Sie das Betriebssystem Ihres Geräts immer auf dem neuesten Stand halten. Ich empfehle außerdem, nur offizielle App-Stores zu nutzen und selbst dann Vorsicht walten zu lassen, wenn Sie etwas für Sie Unbekanntes herunterladen.

    Hank Schless ist Senior Manager für Sicherheitslösungen bei Lookout.

    Weitere Erkenntnisse der Infosec Insiders-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com