Tickende Zeitbombe: Adware auf Android-Smartphones

2018-05-25 17:45:00
 
Tickende Zeitbombe:  Adware auf Android-Smartphones
Auf fast 1.000 verschiedenen Android-Modellen von namhaften Smartphone-Herstellern befindet sich aggressive Adware, die Nutzer mit unerwünschter Werbung vollspammen. Kaum zu glauben: Selbst Neugeräte werden mit infizierten Apps verkauft und die Schädlinge werden, einmal entfernt, immer wieder nachgeladen. Die Adware "Cosiloon" ist äußerst lästig, weil sie Browser des Smartphones unerwünschte Werbung einblendet.

Allein in vergangenen Monaten hat der IT-Sicherheitsanbieter Avast die aktuelle Version dieser Adware auf rund 18.000 Geräten von Nutzern aus über 100 Ländern erkannt – die Top 10 führt Russland an, gefolgt von Italien, Deutschland, Großbritannien, Ukraine, Portugal, Venezuela, Griechenland, Frankreich und Rumänien. Genannt werden vor allem Android-Geräte von ZTE, Archos und myPhone – also Hersteller, die eher günstige Smartphones verkaufen.

Ganz neu ist diese seit circa drei Jahren bekannte Adware nicht. Besonderheit dieses Schädlings: Er ist schwer zu entfernen, da er immer wieder über einen sogenannten Dropper geladen wird, also eine App, die darauf programmiert ist, im Hintergrund Schadprogramme auf das Smartphone herunterzuladen. Dieser Dropper ist auf der Firmware-Ebene des Smartphones fest installiert und verwendet starke Verschleierungsmechanismen.

Avast stehe in Kontakt mit Google, dessen Sicherheitsexperten bereits Schritte in die Wege geleitet hätten, um die schädlichen Auswirkungen auf verschiedenen Gerätemodellen zu bekämpfen. Google habe dafür intern entwickelte Technologien im Einsatz. Zusätzlich sei Google Play Protect aktualisiert, um sicherzustellen, dass diese Apps in Zukunft erkannt werden, berichtet Avast. Doch nachdem die Dropper mit der Firmware vorinstalliert sind, sei es schwierig, das Problem zu lösen, so die Sicherheitsfirma.

Avast hat in den letzten Jahren immer wieder sehr sonderbare Android-Schädlinge entdeckt. Die vorliegenden Exemplare wie Cosiloon sind eigentlich wie jede andere Adware. Doch dieses Mal ist es unklar, wie die Adware auf die Geräte gelangt ist. Der Kontrollserver wurde laufend mit neuem Payload aktualisiert. Auch die Hersteller haben weiterhin neue Geräte mit dem vorinstallierten Dropper verkauft. Einige Antiviren-Apps auf dem Handy erkennen die Adware natürlich, aber der Dropper installiert diese nach der Entfernung gleich wieder.

Der Dropper selbst lässt sich nicht entfernen – und damit hat das Handy eine dauerhafte Schwachstelle, die es unbekannten Dritten ermöglicht, unerwünschte Software zu installieren. Bislang hat Avast lediglich entdeckt, dass der Dropper Adware nachlädt. Aber es könnte künftig auch Spyware oder Erpressersoftware sein, schreibt Avast. Um es klar zu sagen: Hier schlummert eine tickende Zeitbombe in infizierten Android-Smartphones.

Avast hat versucht, den C&C Server mit Cosiloon deaktivieren zu lassen und entsprechende Anfragen an die Domain-Registrierungsstelle und den Service-Provider geschickt. Der erste Provider, ZenLayser, hat zeitnah reagiert und den Server abgeschaltet, berichtet Avast. Aber er wurde einige Zeit später bei einem anderen Provider wieder aktiviert. Um ihn endgültig zu stoppen, muss die cosiloon.com-Domain geblockt werden, über die der Payload nachgeladen wird. Dies ist aber trotz der Kontaktaufnahme von Avast mit der Domain-Registrierungsstelle bislang noch nicht passiert.

Avast Mobile Security erkennt den Payload und kann diesen löschen, aber es kann aufgrund fehlender Zugriffsrechte nicht den Dropper selbst unschädlich machen – diese Aufgabe muss Google Play Protect übernehmen, sagt Avast. Seit Google Play Protect den Schädling Cosiloon erkennt, ist die Zahl der Geräte mit neuem Payload laut Avast Threat Lab bereits zurückgegangen.

Bildquelle: ZTE
zurück
Login
NEU anmelden
Nichts verpassen
 
Immer
    für Sie da
Beratung
+49 (30) 779 07 86 85
+49 (30) 779 07 86 86
LIVE Support
Status:
Einfacher Umtausch
Einfach mit beiliegenden Formular zurücksenden
FAQ
Die häufigsten Fragen finden Sie hier.
 
IT News softwarebilliger.de
IT News softwarebilliger.de
IT News softwarebilliger.de
IT News softwarebilliger.de
IT News softwarebilliger.de
Sprache wählen
Schrift verkleinern
Schrift zurücksetzen
Schrift vergrößern