Es ist der Albtraum jedes Android-Nutzers: Du hast eine Malware auf deinem Handy oder Tablet, die sich auch durch einen Werksreset nicht mehr löschen lässt. Egal, welche APK-Dateien du entfernst, die schadhaften Apps tauchen immer wieder von neuem auf. Einen solchen Trojaner, der sich tief ins Android-System einnistet, haben nun zwei Anti-Malware-Firmen gefunden.
Vor ein paar Tagen ging CM Security mit der Meldung über Ghost Push publik, heute veröffentlichte auch Fireeye ein entsprechendes Posting im Netz. Hier heißt die Schadsoftware zwar anders, aber die Mechanismen zur Verbreitung und der Schutz vor dem Löschen werden in beiden Fällen gleich realisiert.
Rooten, WLAN ausschalten, Anzeigen anzeigen
Die bösartige Software geht dabei in beiden Fällen (CM-Security-Bericht, Fireeye-Bericht) gleich vor. Sie lädt nach der Installation aus dem Play Store oder Drittanbieter-Appstores ein auf das benutzte Android-Gerät zugeschnittenes Rootkit herunter, rootet damit das Android-Smartphone und erlangt so die komplette Kontrolle über das Gerät. Um auch einen Werksreset zu überstehen, ersetzt die Malware den Android-Debug Demon (debuggerd) und fügt der Datei install-recovery.sh entsprechende Startscripte hinzu. Ein passendes Binary und eine stets aufs neue generierte APK-Datei machen das Gespann (fast) perfekt.
Ziel der Malware ist es, über die eingeblendeten Anzeigen möglichst viel Geld zu verdienen. Zusätzlich schaltet die Software jedoch auch die WiFi-Verbindung ab, sodass der Nutzer gezwungen wird, die mobile Datenverbindund zu nutzen. So verursacht die Software indirekt auch Kosten beim Nutzer.
Laut CM Security werden täglich bis zu 600.000 Androiden von der Schadsoftware befallen. Diese Zahl halten wir für etwas sehr hoch, da vorwiegend Samsung-Geräte und Androiden mit MediaTek-Prozessor betroffen sind (die Liste umfasst nur Geräte von HTC, Huawei, Samsung und ZTE) . Zudem soll sich die ursprüngliche Schadsoftware gerade mal in den folgenden 39 Apps verbergen:
| WiFi Enhancer | PinkyGirls | WordLock | SettingService | Sex Cademy |
| TimeService | XVideo Codec Pack | Fast Booster | boom pig | iVideo |
| Indian Sexy Stories 2 | Amazon | Talking Tom 3 | WhatsWifi | Fruit Slots |
| Assistive Touch | Hubii News | Photo Clean | Hot Video | Wifi Speeder |
| Accurate Compass | itouch | Super Mario | Lemon Browser | WiFi FTP |
| All-star Fruit Slash | Light Browser | SmartFolder | Multifunction Flashlight | Ice Browser |
| Happy Fishing | XVideo | Simple Flashlight | Assistive Touch | PronClub |
| MonkeyTest | Memory Booster | Daily Racing | Hot Girls |
Allerdings stimmt die Karte der Verbreitung erstaunlich genau mit einer aktuellen Karte von Fireeye überein. Fireeye hat einen ähnlichen Trojaner entdeckt, der sich ebenfalls mit Bordmitteln und klassischen Antiviren-Apps nicht löschen lässt. Auch die Vorgehensweise des Virus stimmt mit Ghost Push überein.
Fireeye liefert zudem hinweise darauf, wie sich die App selbst aktivieren bzw. andere Apps installieren kann. So veranlasst sie den Nutzer anscheinend dazu, die Bedienungshilfen einzuschalten. Hat sie diese Rechte erlangt „tippt“ die bösartige App bei der Installation einer APK-Datei automatisch auf „Installieren“, auch wenn der Benutzer das gar nicht möchte. Er bekommt so den Installationsbildschirm — wenn überhaupt — nur sehr kurz zu sehen.
Identische Informationen liefern die zwei Berichte von CM Security und Fireeye auch zur Core-Komponente der Malware, die unter anderem aus dem bisher nur lesbaren Dateisystem ein beschreibbares macht und sich in /system/etc/install-recovery.sh einträgt, um automatisch zu starten und einen Werksreset zu überstehen und die eigentliche Adware/Malware als cameraupdate.apk im Verzeichnis /system/apps ablegt. Es dürfte sich also mit großer Sicherheit um die gleiche Malware handeln, von der hier zwei Firmen berichten.
Muss ich jetzt Angst haben?
Jain. Die Risikogruppe ist weiterhin beschränkt. Ab Android 5.0 schlagen die Root-Versuche der Malware fehl. Das größte Risiko gehen somit Nutzer von Samsung-Geräten und/oder mit MediaTek-CPU ein, die noch Android 4.4 oder älter benutzen. Das Nutzerverhalten ist ebenfalls wichtig: Wer sich nicht irgendeinen Battery Booster, sondern eine entsprechende App eines namhaften Herstellers installiert und diesem Rat auch bei anderen Apps befolgt, muss keine Angst haben. Doch hier noch durchzublicken, ist schon recht schwierig.
Jetzt eine Antimalware-App zu installieren, ist deshalb keine schlechte Idee. Denn die meisten Lösungen wie AVG, Lookout, Kaspersky, 360 Security können die hier genannten Schädlinge zwar nach dem Rooten nicht mehr entfernen, aber gleich nach der Installation hingegen schon. Da zwischen dem Download der Lockvogel-App aus dem Play Store und der Aktivierung der Malware selbst ein paar Tage vergehen, besteht so die Chance, dass das Rooten und Einpflanzen des Trojaners gar nie passiert. Cheetah Mobile Security hat immerhin auch eine App im Play Store veröffentlicht, die auf Handys mit Root-Rechten den „Ghost Push“ genannten Schädling entfernen kann (wie man das von Hand macht –egal welcher Trojaner –, liest du in unserem Magazin-Artikel), aber die dürfte recht spezifisch sein und hängt vom Goodwill der Malware-Entwickler ab. Denn wenn diese zum Beispiel von debuggerd kein Backup erstellen, ist auch kein Recovery möglich. Es bleibt dem Nutzer also einzig die komplette Neuinstallation des Systems, was bei Nicht-Nexus-Geräten gar nicht mal so einfach ist.
Quellen: Cheetah Mobile und Fireeye