Das amerikanische Unternehmen NQ Mobile Security Research Center hat mit dem DKFBootKit einenn Abkömmling der DroidKungFu Malware ausgemacht, die gezielt Benutzer von gerooteten Handys angreift. Durch maliziöse Apps eingeschleust, nistet sich das BootKit in den Tiefen des Systems, so dass es sehr früh im Boot-Prozess des Handys geladen werden kann.
Um das Boot-Kit auf einem Handy zu installieren, müssen keine Schwachstellen ausgenutzt werden. Durch Malware-Apps wie bspw. kostenlose Lizenzen für kostenpflichtige Apps, Hacks für populäre Spiele oder gar – mehr oder minder praktische – Root-Apps, installiert der Benutzer selber das Boot-Kit. Die meisten der Malware-Apps finden sich nicht im Google Play Store, sondern auf einschlägigen Seiten oder alternativen Markets mit gecrackten Programmen. Laut NQmobile wurden schon mehr als einhundert Apps mit der Malware in verschiedenen Quellen gefunden.
Einmal installiert, modifiziert das DKFBootKit den Bootvorgang, indem bspw. wichtig Systemprogramme wie ifconfig, oder mount ausgetauscht werden. Eine Routine im Bootkit ermöglicht es der Malware zusätzlichen Schadcode von Command&Control-Servern aus dem Internet herunterladen.
Wer sein Handy rootet, der sollte daher sehr genau darauf achten, woher er Root-Apps bezieht. Die Gefahr aus dem Google Play Store maliziöse Apps zu beziehen ist vorhanden, aber gering. Google checkt zwar beim Einstellen von Apps nicht direkt den Code, doch mit „Bouncer“ verfügt Google über einen Automatismus, der regelmäßig Apps auf Schadcode hin untersucht.
