Neuartige Adware kann Android-Geräte auch unbemerkt rooten

SicherheitSicherheitsmanagement
Malware Trojaner Virus (Bild: Shutterstock/Blue Island)

Die vom Sicherheitsanbieter Lookout entdeckte Android-Adware blendet wie von ihren Artgenossen bekannt unerwünschte Anzeigen ein. Zusätzlich kann sie Geräte aber auch heimlich rooten und sich so tief im System zu verankern. Dadurch lässt sie sich von Betroffenen später kaum noch Entfernen.

Lookout hat auf eine neue Art von Malware hingeweisen, die der Sicherheitsanbieter als “trojanisierte Adware” bezeichnet. Meist tarnt sie sich als eine weit verbreitete Anwendung, etwa von Facebook, Snapchat, Twitter oder Whatsapp. Die Sicherheitsforscher haben über 20.000 Adware-Klone solcher Programme entdeckt. Allerdsing findet sich keine davon bei Google Play, alle stammen aus App-Stores von Drittanbietern.

Lookout  (Bild: Lookout)

Am häufigsten treten sie Lookout zufolge in den USA und in Deutschland auf. Sie finden sich aber auch in anderen Ländern mit einem hohen Android-Anteil wie Russland, Brasilien und Mexiko. Die Sicherheitsforscher gehen davon aus, dass sich solche trojanisierte Malware mit der Zeit noch weiterentwickeln wird.

Die schädlichen Klone verhalten sich laut Lookout oftmals wie die Originalprogramme und erregen beim Anwender so zunächst keinen Verdacht. Allerdings versuchten sie beim Download das Smartphone oder Tablet zu rooten und so unbeschränkten Zugriff auf das System zu erhalten. Dadurch werden die Sicherheitsmechanismen von Android nutzlos und Angreifern eröffnen sich so zusätzliche Möglichkeiten. Die Apps sorgen ddnn durch regelmäßige Werbeeinblendungen dafür, dasss ihre Urheber Geld verdienen.

“Weil diese Art Adware das Gerät rootet und sich selbst als Systemanwendung installiert, ist es nahezu unmöglich, sie zu entfernen. Dadurch sind Opfer normalerweise gezwungen, ihr komplettes Gerät auszutauschen, um wieder den Normalzustand herzustellen”, erklärt Lookout.

Das Sicherheitsunternehmen hat mindestens drei Familien dieser Trojaner-Adware für Android identifiziert. Alle Vertreter nutzen die gleichen Exploits aus: Shuanet, Kemoge (alias ShiftyBug) und Shudun (alias Ghost Push). Ein großes Problem sei, dass sich diese Schadprogramme heimlich Zugang zu Daten verschaffen können, sowohl bei Privatleuten als auch bei Smartphones, die in Firmen genutzt werden.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen