Android von Kemoge-Malware angegriffen
Befall und Verbreitung
Die schädliche Software gelangt meist in Form von Apps, die in alternativen App Stores angeboten werden, auf das Smartphone, wo es selbstständig zu arbeiten beginnt und seine negativen Eigenschaften entfaltet. Die Fake-Apps nutzen meist Icons bekannter und beliebter Apps und täuschen so den User.
Obwohl die meisten Apps vor dem Befall erst aktiv heruntergeladen werden müssen, soll es auch verschiedene Netzwerke geben, die Kemoge-Malware direkt auf das Gerät laden und installieren. Nach der Installation werden dem Benutzer des Öfteren Werbeanzeigen angezeigt, selbst der Homescreen soll betroffen sein und mit plötzlich aufploppenden Pop-ups zu kämpfen haben.
Betroffene Apps in dubiosen Stores
- Kiss Browser
- Smart Touch
- Assistive Touch
- Sex Cademy
- Easy Locker
- 2048kg
- Light Browser
- WiFi Enhancer
- Sharelt
- Privacy Lock
- Talking Tom 3
- Calculator
Kurz darauf startet der Start für den Befall besonders negativer Programmeigenschaften, des sogenannten Payloads. Dieser erfolgt in Form einer zip-Datei, die als .mp4 getarnt ist und entpackt sich schließlich, um das System zu befallen. Die Sicherheitsfirma Fireeye konnte herausfinden, dass diese Software auf gleich acht Arten versucht, das System zu rooten, um sich dauerhaft im System festzusetzen, was bisher leider auch gelungen ist.
Tarnung und Festsetzung auf dem System
Dies kann gelingen, da die Software nicht nur auf Root-Verfahren wie perf_swevent, sock_diag, Root Master oder Root Dashi zurückgreift, sondern außerdem zu Tarnzwecken auch sehr unverdächtige Domains benutzt und zu seinem Command-and-Control-Server (C&C-Server) nur sporadisch Kontakt aufnimmt.
Mit dem Ausführen von root.sh setzt sich die Malware im System fest (Persistenz) und bleibt über längere Zeit hinweg aktiv. Während gelegentlich verschiedene Programme von der Software auf dem Smartphone installiert werden, werden andere wie etwa die Anti-Virus-Software Lookout unbemerkt gelöscht.
Bisher existieren noch keine gesicherten Erkenntnisse darüber, wie die Kemoge-Malware sicher entfernt werden kann, da sie auch bei einem Zurücksetzen auf die Werkseinstellungen des Geräts dennoch im System verhaftet bleibt. Das liegt daran, dass nur Benutzerdaten zurückgesetzt werden, das /system davon aber unberührt bleibt. Somit bleibt die einzige sichere Abwehrmethode bisher absolute Vorsicht und Sorgfalt bei der Wahl von App Stores und Apps, die man nutzen möchte.
Die Schad-Software wurde in über 20 Ländern weltweit nachgewiesen, darunter auch Frankreich, Polen, Russland und Großbritannien. Fälle in Deutschland sind bislang nicht bekannt.