Mobile Malware

Erstes Bootkit für Android aufgetaucht

Donnerstag, 05.04.2012 | 14:05 von Frank Ziemann
DKFBootKit steckt in manipulierter ROM Manager Lizenzdatei
Vergrößern DKFBootKit steckt in manipulierter ROM Manager Lizenzdatei
Ein Sicherheitsunternehmen hat einen Schädling für Android entdeckt, bei dem es sich um eine Art Bootkit für Smartphones handeln soll. Der Schädling kommt verpackt in manipulierten Apps auf das Android-Gerät.
Googles Mobilbetriebssystem Android gilt trotz seiner Linux-Gene bereits als das Windows der Smartphones, weil es die beliebteste Plattform für Malware-Programmierer ist. Das Sicherheitsunternehmen NQmobile beobachtet bereits seiner einiger Zeit die Evolution einer Schädlingsfamilie namens DroidKungFu . Der jüngste Spross dieser Familie ist DKFBootKit , der in manipulierten Apps steckt, die Benutzer sich irgendwo herunter laden.

DFKBootkit wird in Apps eingeschleust, indem das Installationspaket aufgeschnürt, um den Schädling ergänzt und wieder neu verpackt wird. Dabei werden gezielt Apps ausgewählt, die Root-Rechte erfordern. NQmobile nennt als Beispiel einen Download, der vorgeblich eine Lizenz für die kostenpflichtige Premium-Version einer App namens ROM Manager installiert.

Bei der Installation fordert das Programm Administratorrechte (superuser, root) an und installiert einen Hintergrunddienst, der ein verstecktes Programm startet. Dieses prüft zunächst, ob es Root-Rechte hat, sonst beendet es sich. Hat es die Berechtigungen, hängt es die Systempartition als beschreibbar ein und kopiert sich ins Verzeichnis /system/lib . Es ersetzt verschiedene System-Tools wie ifconfig und mount , manipuliert zugehörige Dienste (etwa vold und debuggerd ) sowie Scripte, die beim Systemstart ausgeführt werden.

Der Schädling wird nun beim Boot-Vorgang geladen, bevor das Android-Framework initialisiert wird. DFKBootkit enthält eine Bot-Komponente und kann beliebige Befehle ausführen, die es von Mutterschiffen seines Bot-Netzes erhält. Es kann zum Beispiel ohne Wissen des Benutzers Apps installieren oder entfernen. Es könnte Daten stehlen oder verändern, Spam-Mails versenden oder beim Online-Banking unbemerkt dazwischen funken.

Zum Schutz vor solchen Schädlingen empfiehlt NQmobile Apps nur aus absolut vertrauenswürdigen Quellen zu beziehen und vorab so viele Informationen wie möglich über die jeweilige App einzuholen. Bei der Installation einer App sollten Benutzer darauf achten, welche Rechte sie anfordert und ob diese für den beabsichtigten Zweck nötig sind. Schließlich rät NQmobile zur Installation einer Schutzlösung – natürlich vorzugsweise die hauseigene.

Donnerstag, 05.04.2012 | 14:05 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
1426421