Android Malware: Copycat und SpyDealer und Sicherheitslücke

Zum Feierabend noch zwei Sicherheitsmeldungen für Android-Gerätebesitzer. Es gibt mal wieder neue Malware für Android mit den Namen Copycat und SpyDealer. Zudem dürfte eine neue Sicherheitslücke einen ganzen Schwung Androiden bedrohen.


Anzeige

CopyCat Adware infiziert 14 Millionen Android-Geräte

Das Thema ist nicht wirklich lustig: Da setzen die Hersteller alles daran, dass Nutzer ihre Android-Geräte nicht rooten können, und dann schafft eine Malware das mal nebenbei.

In den letzten 1,5 Jahren ist es einer Malware CopyCat gelungen, über 14 Millionen Android-Geräte zu infizieren. Dabei wurden 8 Millionen Geräte so nebenbei gerootet, und die Adware klinkte sich in einen Systemprozess ein. Die Urheber habe es mit der Adware geschafft, mehr als. 1,5 Millionen US $ an Werbeeinnahmen zu generieren.

Die Adware nutze insgesamt fünf Exploits (CVE-2014-4321, CVE-2014-4324, CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot), CVE-2014-3153 (Towelroot)), um Android-Geräte zu rooten und sich dann im Zygote Android Core-Prozess einzunisten.  Als Folge sind Android. Auf Grund der oben genannten Exploits werden Android-Geräte bis zur Version 5.x (Lollipop) befallen – weil die Sicherheitslücken niemals geschlossen worden.

Der Zygote-Prozess kontrolliert den App-Start. Dadurch konnte die Adware die Werbung anderer Apps mit eigener Werbung ersetzen. Aufgedeckt hat das der Sicherheitsanbieter CheckPoint, der in diesem Blog-Beitrag folgende Karte zur Verbreitung veröffentlichte.


Anzeige

CopyCat infections
(Quelle: CheckPoint)

Installiert wird die Malware durch infizierte Apps aus Dritt-App-Stores. Die Verbreitung zeigt, dass die Malware in Asien und Afika grassiert. Es finden sich Hinweise, die zum chinesischen Anbieter MobiSummer führen. Dieser betreibt ein Ad-Netzwerk. Es ist aber unklar, ob diese Firma die Adware verteilt oder ob deren Server gehackt wurden. Allerding ist auffällig, dass chinesische Android-Geräte durch die Malware nicht befallen werden – die Hintermänner wollen wohl keinen Besuch der chinesischen Firmen. Weitere Hinweise finden sich bei Bleeping Computer (Englisch) und bei ZDNet (Deutsch).

SpyDealer Malware rootet jedes vierte Android-Gerät

Eine weitere Malware mit den Namen SpyDealer wird hier bei Bleeping Computer beschrieben. Es handelt sich um einen sehr ausgebufften Trojaner, der jedes vierte Android-Gerät rooten kann und dann Daten von über 40 Apps und den Gerätestandort abrufen kann. Hier die Liste der Apps:

WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail, Taobao, und Baidu Net Disk

Entdeckt wurde die Malware von Palo Alto Network, die die Aktivitäten bereits seit 2015 beobachten. Die meisten Infektionen sind wohl in China zu verzeichnen, wie man diesem Bericht entnehmen kann.

Sicherheitslücke im Broadcom Wi-Fi-Treiber

Gestern hatte ich im Blog-Beitrag Android Sicherheitsupdates Juli 2017 auf das Google Sicherheitsupdate für Juli 2017 hingewiesen. Es ist zwar löblich, dass Google diese Updates herausgibt. Aber kaum ein Android-Gerät außer den neuestens Google Nexus und Pixel bekommt diese Updates. Vor allen dümpeln Millionen ungepatchte Androiden in der Welt herum und ermöglichen die in den obigen Abschnitten beschriebenen Malware-Angriffe.

Im Juli 2017-Update beschreibt Google neben Schwachstellen im Media Server auch einen kritischen Bug im Broadcom Wi-Fi-Treiber. Dieser Bug ermöglicht es einem Angreifer Code im Kernel-Modus auszuführen. Das Ganze wird als Broadpwn bezeichnet, wie man hier nachlesen kann. Details über diese Sicherheitslücke sollen auf der Black Hat-Konferenz Ende des Monats veröffentlicht werden. Die Vorankündigung des Vortrags gibt folgendes an:

"Meet Broadpwn, a vulnerability in Broadcom's Wi-Fi chipsets which affects millions of Android and iOS devices, and can be triggered remotely, without user interaction. The Broadcom BCM43xx family of Wi-Fi chips is found in an extraordinarily wide range of mobile devices – from various iPhone models, to HTC, LG, Nexus and practically the full range of Samsung flagship devices,"

Bei futurezone.at findet sich noch dieser deutschsprachige Beitrag zum Thema, der noch einige Informationen enthält. 


Anzeige

Dieser Beitrag wurde unter Android, Sicherheit, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Android Malware: Copycat und SpyDealer und Sicherheitslücke

  1. Ralf Lindemann sagt:

    Schon erstaunlich, wenn derartige Sicherheitslücken bei Windows- oder Apple-Geräten bekannt werden, ist die Aufregung groß, die Tagesschau berichtet, das BSI erteilt kluge Ratschläge und Anwender fühlen sich mit ihren kompromittierten Geräten nicht mehr recht wohl und installieren fleißig Notfall-Updates. Bei Android? Kollektives Achselzucken. Sicherheitsupdates? Nicht für ältere Android-Versionen. Juckt es irgendwen? Nö, nicht wirklich, scheinbar nicht mal die Betroffenen, die die anfälligen Geräte nutzen. Wenn man sich fragt, wo die 500 Millionen Datensätze herkommen, vor denen das BKA seit gestern warnt, dann muss man diese beiden Meldungen eigentlich zusammenkleben …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.