APK-Löschen zwecklos: Fiese Trojaner und andere Malware von Hand entfernen

Ich sage es nicht gerne, aber Android-Malware ist inzwischen so fies geworden, dass viele Nutzer überhaupt nicht mehr mitbekommen, was auf ihrem Smartphone gerade vor sich geht, welche App welche Reklame einblendet und wo denn auf einmal all die neuen Apps herkommen. Erpresser-Trojaner und andere Schädlinge für Android sind stark im kommen, und immer mehr von Ihnen lassen sich auf herkömmliche Weise nicht entfernen. Dieser Workshop zeigt dir anhand von konkreten Beispielen, wie du Apps los wirst, die sich mit Antiviren-Apps oder Android-Bordmitteln nicht entfernen lassen.

Es gibt mehrere Szenarien, sich eine Malware unter Android einzufangen. Recht weit verbreitet sind Schädlinge auf China-Smartphones, die bei einem Direktimport bereits vorinstalliert sind. Wer hier wann welche App mit in die Software mit rein bringt, ist aktuell noch umstritten. Ich gehe stark davon aus, dass es die Online-Händler sind, die mit Margen im 10-Cent-Bereich arbeiten und sich über die vorinstallierte Schadsoftware ein paar Cent hinzuverdienen möchten, wie bei unserem Lenovo K3 Note von Gearbest. Aber vielleicht gibt es ja noch einen Man in the Middle…

Eine solche Malware ist zum Beispiel in der Lage, ohne dein Zutun die Installation aus unbekannten Quellen zu aktivieren und mucksmäuschenstill weitere Apps zu installieren, wie auf dem Zopo-Smartphone meiner Frau geschehen. Du entfernst das Häkchen, und wenige Minuten später ist es wieder gesetzt. Kein angenehmes Gefühl…

Eine zweite Möglichkeit, sich Schadsoftware einzufangen, besteht in der Installation von Apps aus unbekannten Quellen. Vom Pornoplayer über den MP3-Downloader bis zu den süßesten Hintergrundbildern ist hier alles vertreten. Die Chancen, sich dabei eine Erpressersoftware einzufangen, sind recht hoch. Das zeigen auch die permanent wachsenden Zugriffe auf unseren Artikel zum BKA-Trojaner, die aktuell bei über 100.000 liegen.

Seit ein paar Monaten gibt es aber auch eine dritte Art von Android-Malware, die sich über den offiziellen Play Store von Google oder über präparierte Webseiten verbreitet. Betroffen sind hier üblicherweise Android-Geräte bis Version 4.4, die ja noch in recht großer Zahl unterwegs sind. Die aus dem Play Store installierten Apps verhalten sich zunächst für ein paar Tage lang unauffällig, dann werden fleißig weitere Apps und Bestandteile heruntergeladen, um schließlich einen perfekten Client für ein Bot-Netz aufzubauen oder kurzerhand mal etwas Reklame oder Erpressersoftware anzuzeigen.

Zurücksetzen auf die Werkseinstellungen — Zwecklos!

Wenn du bei diesem Beitrag gelandet bist, weil du auf deinem Handy Malware vermutest, dann gibt es viele Möglichkeiten, diese mit Bordmitteln oder einer Anti-Malware-App aus dem Play Store loszuwerden. Auf diese Möglichkeiten gehe ich hier nicht ein, lies dir am besten unseren Artikel zum BKA-Trojaner und die diversen Kommentare dazu durch. Dieser Artikel fängt dort an, wo du bereits alles versucht hast und selbst ein Werksreset nicht zum gewünschten Erfolg geführt hat. Du bist dann von einem Trojaner betroffen, der entweder von Anfang an auf deinem Handy vorinstalliert war oder eine Sicherheitslücke in Android so geschickt ausnutzt, dass er auch einen Werksreset übersteht.

In einem solchen Fall gibt es nur einen Weg, um wieder selbst die Kontrolle über dein Handy zu erlangen: Du musst es rooten und via Kommandozeile aufräumen. Das kann in manchen Fällen mit dem Löschen einiger APK-Dateien erledigt sein, bei Schadsoftware wie dem Monkey Test alias Ghost Push  oder Timeservice sind deutlich mehr Schritte notwendig. Wenn du keine Ahnung hast, wie du das eigene Android-Smartphone rootest und wenn du dich auf der Kommandozeile nicht wirklich auskennst, dann lässt du das am besten von einem Experten machen oder bringst dein Handy zum Service, damit die Firmware komplett neu installiert wird. Bei einem Direktimport aus China wird das freilich nicht so einfach klappen…

Voraussetzungen für diesen Workshop sind also Kenntnisse über das Rooten und das Arbeiten auf der Kommandozeile (alias DOS-Fenster für Windows-Veteranen).

3, 2, 1… Root!

Wenn du aktuell noch mit Android 4.4 oder älter unterwegs bist, dann musst du dein Smartphone rooten, um selbst Hand anlegen zu können.  Das hört sich jetzt nach „Teufel mit dem Belzebuben“ austreiben an, aber es gibt keine andere Möglichkeit, im System vorinstallierte Malware oder einen Trojaner, der sich selbst Root-Rechte verschafft hat, zu entfernen.

Wenn du den Verdacht hast, dass dein Handy via Schadsoftware gerootet wurde, dann lade dir einfach mal SuperSU aus dem Play Store herunter und versuche es mit der normalen Methode ohne TWRP, an Root-Rechte zu gelangen.

Sonst führt kein Weg an einem Root-Tool vorbei. Bei vielen der betroffenen Geräte handelt es sich um Smartphones und Tablets mit MediaTek-Chipsatz. Hier habe ich in der Vergangenheit mit Kingo-Root recht gute Erfahrungen gemacht, wobei ich die neue Android-Version empfehle, nicht die Windows-Software: Denn wenn dein Handy bereits kompromittiert ist, benutzt du es vielleicht besser nicht an einem Windows-Rechner. Bis jetzt konnte ich aber trotz 12 Monate aktiver Kingo-Root-Nutzung keine Malware auf meinem Windows-8.1-Testsystem finden. Das spricht für die Software.

Auf eine detaillierte Schritt-für-Schritt-Anleitung verzichte ich an dieser Stelle.  Wenn du beim Rooten auf Probleme stoßen solltest, dann steht dir der Android-User-Support unter andy@android-user.de mit Rat zur Seite. Das gilt auch für alle anderen Schritte dieser Anleitung. Bitte in die Mail als Betreff Support-Code: 104714 angeben.

APK-Dateien löschen

In den meisten Fällen ist ein Trojaner nichts weiter als eine oder mehrere vorinstallierte APK-Dateien. Hier musst du also einfach wissen, welche APK-Datei bzw. welche App der Bösewicht ist und anschließend diese APK-Dateien löschen.  Dazu gibt es mehrere Apps von denen ich Titanium Backup und 360 Security empfehlen kann. 360 Security ist eher für Anfänger die beste Lösung, weil die App die Malware — in den meisten Fällen — nicht nur erkennt sondern auch löscht. Du darfst dich aber nicht auf den „Schutz“ der App verlassen, sondern musst ihr Root-Rechter erteilen und das Löschen der APK-Dateien erlauben.

Titanium Backup ist mehr für erfahrene Nutzer gedacht. Hier kannst du Apps zuerst in die Quarantäne schicken, bevor du sie komplett löscht. Das ist deshalb wichtig, falls du dir bei einer Anwendung nicht sicher bist, ob es auch wirklich eine Schadsoftware ist!

Recht gut im Auffinden von bösartigen Apps ist auch Malwarebytes Anti-Malware. Die App findet einige aktuelle Schädlinge, die den großen PC-Playern wie AVG, G-Data, Kaspersky und Lookout (noch) nicht bekannt sind. Generell eignet sich aber für den Einstieg jeder der im Play Store verfügbaren Anti-Malware-App eines namhaften Herstellers. Das Löschen mit Root-Rechten beherrscht aber nur 360 Security.

Falls keine der Apps den Schädling findet, musst du selbst danach Ausschau halten. Welche Apps im Hintergrund aktiv sind, zeigt dir ein Blick in die Android-Einstellungen unter Apps bzw. Anwendungen | Aktiv. Hier musst du nun selbst herausfinden, welche App da vermutlich nicht hingehört. Das können Anwendungen mit unscheinbaren Namen wie Update oder Notes sein, aber auch Apps, bei denen recht klar ist, dass sie dort nicht hingehören. Auf einem meiner Testhandys war zum Beispiel die App „Recents“ mit einem Zahnradsymbol und dem C:\-Logo in der Liste. So ein C:\ hat natürlich auf einem Linux-System wie Android nichts verloren. Ein klarer Fall für den Mülleimer.

Last but not least gibt es speziell für China-Malware noch die MTK Droid Tools. Dieses Werkzeug hilft dir nicht nur dabei, dein Android-Smartphone mit MediaTek-Chipsatz mit einem Custom Recovery zu versehen, sondern bringt — wenn dein Handy gerootet ist — auch eine praktische Funktion mit, um bekannte China-Malware zu entfernen. Das Tool vom Entwickler rua1 gibt es im Original-Thread auf Russisch zum Download. Die neueste Version ist 2.5.3 (Direktlink). Vorsicht: MTK-Droid-Tools löscht ohne Nachfrage!

Bösartige App gefunden? Dann kannst du diese einfach über die Android-Systemeinstellungen löschen oder mit TItanium Backup oder einem anderen Tool einfrieren. Alternativ verbindest du dich über eine Shell via ADB mit deinem Smartphone und löscht die verdächtigen Programme von Hand:

rm /pfad/zur/Datei.apk

Wenn du dir nicht zu 100 Prozent sicher bist, dann verschiebe die Dateien am besten auf die microSD-Karte, anstatt sie zu löschen. So hast du im Notfall noch ein Backup zur Hand und kannst uns oder einem renommierten Antiviren-Hersteller die APK-Datei zusenden. Hier stößt du eventuell auch schon auf die erste Hürde: in manchen Fällen ist das Android-Dateisystem nur lesend eingehängt. So lassen sich die vorinstallierten Apps nicht löschen. Hier genügt es, nach dem Login via ADB auf das Smartphone die /system Partition mit Schreibrechten einzuhängen:

mount -o remount rw /system

Anschließend sollte dem Verschieben und Löschen nichts mehr im Wege stehen.

Ghost Push – Der Albtraum jedes Android-Nutzers

Bis hierher ging alles mit rechten Mitteln zu und her. Wer etwas Erfahrung unter Android besitzt, lässt sich durch ein paar bösartige APK-Dateien nicht die gute Laune bzw. das Smartphone verderben. Doch seit ein paar Wochen macht ein neuer Schädling die Runde, der sich durch die oben beschriebenen Schritte nicht löschen lässt. Die Rede ist von Ghost Push alias Monkey Test alias Time Service, NGE Mobi/Xinyinhe und mit vielen weiteren Namen. Er hat laut CM Security bisher über 600.000 Android-Geräte (vorwiegend KitKat und älter, aber auch bis zu Android 5.1) infiziert, Tendenz stark steigend. Betroffen sind neben Androiden mit MediaTek-Chipsatz auch zahlreiche Samsung-Smartphones. Die Malware kommt über eine App aus dem Google Play Store auf dein Gerät und lässt sich mit Bordmitteln nicht entfernen, weil sie sich Root-Rechte verschafft und anschließend in das Verzeichnis /system/priv-app/ installiert. So übersteht sie auch einen Werksreset. Zudem ändert Sie das Dateisystem auf Read-only und setzt bei diversen Dateien über den Linux-Befehl chattr die Dateirechte so, dass Dateien nur als Root gelöscht werden können und Informationen nur als Root an die Dateien angehängt werden können. Ganz schön fies!

Laut einem aktuellen Bericht von Fireeye besteht die Malware aus drei Teilen: Eine App im Play Store, die als Kopie einer renommierten App eingestellt wurde oder in alternativen App Stores. Das kann ein Browser sein, eine Taschenlampe, Galerie-App oder irgendeine andere App. Auf den ersten Blick ist kein Unterschied zum Original zu erkennen. Diese App sammelt möglichst viele Informationen über das Smartphone/Tabelet und schickt diese zu einem Kontrollserver. Der Server wiederum schickt das passende Root-Tool auf das Smartphone. Wie der Root-Vorgang genau ausgeführt wird, ist aktuell noch nicht ganz klar, ziemlich sicher tippt der Benutzer aber auf eine Schaltfläche innerhalb der böswilligen App, die vorgibt etwas ganz anderes zu sein.

Hat auch das Rooten geklappt (was aktuell nur bis Android 4.4 der Fall ist), dann installiert die App eine permantente Backdoor und verhindert über das Immutable-Flag die eigene Deinstallation. Bei Ghost Push geht die Schadsoftware so weit, den vorinstallierten Debugger-Demon debuggerd zu ersetzen und die Script install-recovery.sh zu manipulieren und eine Executable im Root-Dateisystem zu hinterlegen, die bei jedem (Neu-)start ausgeführt wird. Hier haben wir es also quasi mit einem klassischen Root-Kit bzw. Trojaner zu tun.

Das Löschen verlangt also einiges an Handarbeit. Für Ghost Push gibt es hier eine komplette Anleitung bei CM Security, von der ich hier nur die zentralen Schritte schildere.

1. Zunächst benötigst du auf deinem Android-Smartphone Busybox. Über dieses Wunderwerkzeug, das aus jedem Android-Smartphone ein vollwertiges Linux-System macht, habe ich bereits berichtet. Busybox ist deshalb notwendig, um die Änderungen am Dateisystem wieder rückgängig zu machen. Android selbst bringt dazu keine Kommandozeilentools mit, die Malware schon ;-)
2. Nun benötigst du einen Rechner mit der Android Debug Bridge. Wie man ADB installiert, erfährst du in diesem Artikel.
3. Im dritten Schritt musst du den Schädling erst mal killen. Da es sich dabei um keine klassische Android-Anwendung handelt, findet sie sich auch nicht in der Liste der ausgeführten Apps. Logge dich also via adb shell auf dem Handy ein, und suche nach dem verdächtigen Stück Code, zum Beispiel mit dem Befehl

   ps | grep .base

   Als Resultat bekommst du dann die Prozess-ID und kannst den Prozess mit kill PID beenden, zum Beispiel kill 925. Unter Linux würde man das mit pidof Programmname lösen. VORSICHT: kbase_event ist keine Schadsoftware. Du musst nach einer Datei Ausschau halten, die nur .base heißt. Das folgende Beispiel zeigt, wie man die App 360 Security von Qihoo mit dem kill-Befehl beendet (die natürlich keine Malware ist, sondern genau das Gegenteil):

   root@k05ts_a:/system/xbin # ps | grep qihoo 
   u0_a86 1199 305 1080020 63852 ffffffff f75b7ff4 S com.qihoo.security
   u0_a86 14260 305 1010332 29712 ffffffff f75b7ff4 S com.qihoo.security:ac
   u0_a86 22469 305 1134436 112480 ffffffff f75b7ff4 S com.qihoo.security:ui
   root@k05ts_a:/system/xbin # kill 1199
   root@k05ts_a:/system/xbin # kill 14260
   root@k05ts_a:/system/xbin # kill 22469

4. Jetzt kommt der Part, um das Dateisystem schreibbar zu machen, denn wenn es read-only eingehängt ist, dann kannst du keine Dateien löschen:

   mount -o remount rw /system

5. Jetzt geht es ans Aufräumen. Du musst alle Komponenten im System finden, die von der Schadsoftware verändert wurden. Das ist gar nicht mal so einfach. Versuche, dich am Datum der Installation zu orientieren, wenn du den Hauptschädling hast. Der folgende Befehl findet alle Dateien, die vor drei Tagen verändert wurden:

   find . -name "*" -mtime 3

   Ersetze -mtime 3 durch -mtime 0 um alle Dateien zu finden, die am aktuellen Tag verändert wurden, wenn der Trojaner sich immer neu installiert/aktivier. Zuerst lohnt sich ein Blick im Verzeichnis /system/xbin/. Dort gibt es üblicherweise neben dem su-Binary nur eine Handvoll Dateien. Sind es deutlich mehr, dann stimmt vermutlich etwas nicht. Auch /system/bin kann betroffen sein, /system/apps und /system/priv-app ebenfalls. Bei der aktuellen Ghost Push Malware kannst du auch nach Binaries suchen, die das Immutable-Bit gesetzt haben:

   lsattr -R | grep "ia"

   Das funktioniert nur mit installierter Busybox, weil Android selbst den lsattr-Befehl von Haus aus nicht mitbringt. Hier musst du zuerst das ia-Attribut mit dem Befehl chattr -ia Dateiname wieder entfernen, danach kannst du alle diese Dateien löschen nachdem du ein Backup erstellt hast.

6. Last but not least musst du Dateien finden, die der Trojaner abgeändert hat. Das ist der schwierigste Part. Bei Ghost Push haben die Entwickler ein Backup des debuggerd mit dem Namen debuggerd-test angelegt und dem Script /system/etc/install-recovery.sh zwei zusätzliche Zeilen hinzugefügt. Das Backup von debugerd ist nett, muss aber nicht sein. Wenn die Datei fehlt, musst du wohl oder übel das komplette System neu installieren (also neu flashen, ein Reset genügt nicht). Um Veränderungen in den Script-Dateien zu finden, kannst du rekursiv in allen Dateien suchen, zum Beispiel

   grep -r 'quihoo' *

Wie oben erwähnt, für Ghost Push findest du eine detaillierte Schritt-für-Schritt-Anleitung bei CM Security, die Grundlagen sollte aber auch dieser Artikel vermittelt haben.

Hol dir eine Anti-Malware-Software!

Ich war ja bisher immer der Meinung, dass brain.apk jedes Problem im Ansatz lösen kann. Aber die bösen Jungs mit ihren Schadprogrammen sind inzwischen so clever, dass es wirklich auch für einen erfahrenen Linux-Hasen wie mich zur Herausforderung wird, mein Android-System (bzw. die meiner Frau und meiner Kinder ;-) zu verstehen. Vor der Installation einer schadhaften Apps bzw. gleich danach schlagen fast alle Antiviren-Apps an, sodass du noch eine Chance hast, den Schädling vor dem ersten Start loszuwerden. Deshalb solltest du eine Antimalware-App auf deinem Androiden installiert haben.

Relativ sicher bist du auch mit einem aktuellen Android-System. Denn dieses können die Apps aktuell noch nicht einfach so rooten und sich somit auch nicht permanten einnisten. Da die Root-Komponente jedoch stets nachgeladen wird, ist das nur eine Frage der Zeit. Towelroot und Co lassen grüßen!

Du bist zudem weiterhin recht gut geschützt,wenn du nur Apps von namhaften Herstellern installierst. Denn bei den Schadprogrammen handelt es sich stets um illegale Kopien solcher Apps. Drive-by-Downloads von Android-Schadsoftware ist aktuell kein Thema und die Schadsoftware kann sich auch nicht aktiv selbst verbreiten. Deshalb spreche ich im Artikel auch nicht von einem Virus, sondern generell von Malware. Und sie lässt sich — wenn auch mit viel Aufwand — mit Linux-Bordmitteln löschen.

Fazit

Android-Malware ist aus ihren Kinderschuhen erwachsen und wird immer cleverer, nistet sich immer tiefer ins System ein. Ghost Push zeigt,  wie gefährlich eine Schadsoftware werden kann, wenn sie an Root-Rechte gelangt, und wie schwierig sich das Entfernen gestaltet, ohne das komplette Android-System neu aufspielen zu müssen. Vergleiche mit Windows sind dennoch fehl am Platz: Eine aktive Verbreitung von Android-System zu Android-System findet nicht statt, der Nutzer muss sich die Schadsoftware weiterhin aktiv holen, quasi einen Fehler machen.