„Godless“: Mobile Schadsoftware nutzt mehrere Exploits zum Rooten

 

Originalartikel von Veo Zhang, Mobile Threats Analyst

Trend Micros Sicherheitsforscher haben eine mobile Schadsoftwarefamilie namens Godless (ANDROIDOS_GODLESS.HRX) entdeckt, die praktisch jedes Android-Gerät mit Android 5.1 (Lollipop) oder älter angreifen kann. Das bedeutet, dass fast 90% der sich im Einsatz befindlichen Geräte betroffen sein können. Die Daten des Trend Micro Mobile App Reputation Service zeigen, dass bösartige Apps im Zusammenhang mit dieser Bedrohung in bekannten App Stores zu finden sind, etwa in Google Play, und dass mehr als 850.000 Geräte weltweit betroffen sind.


Bild 1. Weltweite Verteilung von betroffenen Geräten

Godless erinnert an ein Exploit Kit, denn die Malware nutzt ein quelloffenes Rooting Framework namens android-rooting-tools. Besagtes Framework umfasst verschiedene Exploits, die für das Rooten unterschiedlicher Android-basierter Geräte genutzt werden können. Die beiden bekanntesten Sicherheitslücken, die dieses Kit ausnutzt, sind CVE-2015-3636 (vom PingPongRoot Exploit genutzt) und CVE-2014-3153 (vom Towelroot Exploit anvisiert). Die weiteren Exploits sind wenig bekannt.

Darüber hinaus kann die Schadsoftware mit Root-Privilegien Fernanweisungen dazu erhalten, welche App herunterzuladen und heimlich auf dem Gerät zu installieren ist. Als Folge erhalten die Opfer nicht gewünschte Apps mit nicht angeforderter Werbung. Schlimmer noch, diese Bedrohungen können auch dazu genutzt werden, um Backdoors zu installieren und den Benutzer auszuspionieren.

Rooting geht von lokal zu remote

In früheren Godless-Versionen enthielten die bösartigen Apps ein lokales Exploit Binary namens libgodlikelib.so, das Exploit-Code aus android-rooting-tools enthält.

Bild 2. android-rooting-tools Exploits in libgodlike.so

Sobald ein Nutzer diese Apps herunterlädt, wartet die Schadsoftware, bis der Bildschirm des betroffenen Geräts abgeschaltet wird, und startet dann seine Rooting-Routine. Danach legt sie eine Payload als System-App ab, weil die nicht so einfach zu entfernen ist. Es handelt sich um eine mit AES verschlüsselte Datei namens called__image. Kürzlich fanden die Sicherheitsforscher eine neue Godless-Variante, die nur den Exploit und die Payload vom remote C&C-Server hxxp://market[.]moboplay[.]com/softs[.]ashx holt. Die Experten nehmen an, dass die Routine eingesetzt wird, um Sicherheitsprüfungen in den App Stores zu umgehen.

Es wurden verschiedene Apps in Google Play entdeckt, die diesen bösartigen Code enthalten. Dazu gehören Taschenlampen (etwa Summer Flashlight) und WLAN-Apps.

Bild 3. Beispiel einer bösartigen App

Auch gibt es eine Vielzahl sauberer Apps in Google Play, die eine bösartige Entsprechung außerhalb des Stores haben und das gleiche Entwicklerzertifikat führen. Dadurch besteht das Risiko, dass Nutzer mit einer nicht bösartigen App ohne ihr Wissen auf eine bösartige Version upgedatet werden. Achtung: Das Updaten von Apps außerhalb von Google Play widerspricht den allgemeinen Geschäftsbedingungen des Stores

Payload

Frühere Godless-Varianten legen eine System App ab, die einen Standalone Google Play  Client installiert. Diese Payload stiehlt Google-Logindaten, um Apps aus dem Store herunterladen und installieren zu können, die dann nicht gewünschte Werbung zeigt. Auch kann sie dazu dienen, das Ranking bestimmter Apps in Google Play zu verbessern.

Die neueste Variante installiert einen Backdoor mit Root-Zugriff, um heimlich Apps installieren zu können.

Best Practices

Es ist nichts Schlimmes daran, ein Mobilgerät zu rooten. Das kann mehrere Vorteile haben etwa bezüglich der Automatisierung oder Performance. Doch hört der Spass auf, wenn eine Schadsoftware ein Gerät heimlich rootet.

Vor dem Herunterladen eine App sollte der potenzielle Nutzer immer den Entwickler überprüfen. Unbekannte Entwickler mit wenig oder gar keinen Hintergrundinformationen könnten die Quelle solcher bösartiger Apps sein. Allgemein gilt, Apps sollten nur aus vertrauenswürdigen Stores wie Google Play und Amazon heruntergeladen werden.

Auch muss immer eine Sicherheitssoftware auf dem Gerät laufen. Trend Micro Mobile Security Personal Edition und Mobile Security erkennen alle Bedrohungen in Zusammenhang mit diesem Angriff.

Die SHA1 Hashes befinden sich im Anhang. Google wurde über die entsprechenden Apps informiert und der Anbieter hat entsprechende Maßnahmen ergriffen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*