Trend Micro warnt vor Rooting-Schädling „Godless“ für Android

Der japanische Sicherheitsanbieter Trend Micro warnt vor einem Android-Schädling, der infizierte Geräte rooten und damit vollständig kontrollieren kann. Die mobile Malware-Familie namens „Godless“ nutzt unter anderem zwei bekannte Sicherheitslücken (CVE-2015-3636 und CVE-2014-3153) in Android 5.1 Lollipop oder früher aus. Damit seien allein in Deutschland rund 90 Prozent aller Android-Geräte potenziell gefährdet.

Die neu entdeckte Godless-Variante verbreitet sich Trend Micro zufolge unter anderem über Anwendungen in Google Play. Dazu gehören WLAN- und Taschenlampen-Apps, darunter „Summer Flashlight“. Google wurde nach Angaben der Sicherheitsforscher über die Gefahr informiert und hat bereits Gegenmaßnahmen ergriffen.

Sie weisen zudem darauf hin, dass es eine Vielzahl sauberer Apps in Google Play gibt, die außerhalb des Stores eine bösartige Entsprechung mit gleichem Entwicklerzertifikat haben. Dadurch bestehe das Risiko, dass eine nicht bösartige App ohne Wissen des Nutzers auf eine bösartige aktualisiert werde. Daher untersagt Google das Updaten von Apps außerhalb des Play Store in seinen Richtlinien für Entwickler.

Android-Sicherheitslücken, über die Angreifer Root-Rechte und damit die umfassende Kontrolle über ein Smartphone oder Tablet erlangen können, sowie speziell dafür entwickelte Exploits sind keine Seltenheit. Godless erinnert laut Trend Micro an ein Exploit Kit und nutzt ein quelloffenes Rooting-Framework mit der Bezeichnung „android-rooting-tools„. Dieses Framework enthält verschiedene Exploits, die sich zum Rooten verschiedener Android-Geräte verwenden lassen.

Die Schadsoftware kann mit Root-Privilegien Fernanweisungen dazu erhalten, welche App herunterzuladen und heimlich auf dem Gerät zu installieren ist. Als Folge bekommen die Opfer unerwünschte Apps mit nicht angeforderter Werbung. Im schlimmsten Fall richtet die Malware Hintertüren ein, um den Gerätebesitzer auszuspionieren.

Dass Exploits häufig noch für ältere Android-Sicherheitslücken genutzt werden, liegt an den zum Teil langen Patchzyklen der Gerätehersteller. So hat das Anfang Oktober 2015 eingeführte Android 6.0 Marshmallow in der ersten Juniwoche gerade einmal die 10-Prozent-Marke geknackt. Über 35 Prozent aller Android-Geräte laufen hingegen unter Lollipop, mehr als 31 Prozent verwenden sogar noch den Vorgänger KitKat.

Die relativ geringe Verbreitung der jeweils aktuellsten Android-Version bedeutet zugleich, dass viele Geräte anfällig für Malware und Datendiebstahl sind, da Updates für Googles Mobilbetriebssystem natürlich auch sicherheitsrelevante Patches umfassen, die für ältere Versionen nicht immer separat erhältlich sind. Ein Beispiel dafür ist ein Fehler in der Browserkomponente WebView unter Android 4.3 und früher, den Google nicht beheben wird. Immerhin versorgt es aber andere Komponenten, die nicht so eng mit dem Betriebssystem verzahnt sind, über Google Play Dienste mit Sicherheitsupdates.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.