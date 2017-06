Ein Trojaner, der über eine im Google Play Store vorhandene App verbreitet wurde, soll nach Angaben der Sicherheitsexperten von Kaspersky Android-Smartphones heimlich rooten und damit den vollständigen Systemzugriff erlangen können. Die kompromittierte App nennt sich colourblock und erinnert optisch an ein Puzzle- oder Tetris-Game, der Trojaner wurde von den Forschern Dvmap getauft. Die App wurde zwischenzeitlich entfernt, verzeichnete zu diesem Zeitpunkt aber schon 50.000 Downloads.

Nach den bisher vorliegenden Angaben geht Kaspersky davon aus, dass es sich bei colourblock nur um einen ersten Test der Dvmap-Macher handelte, dem nun weitere infizierte Apps folgen könnten. Offenbar wurde die App zuerst ohne den Trojaner in den Google Play Store geladen und dann nachträglich fast 100 mal aktualisiert, ohne dass Googles Sicherheitsmaßnahmen gegen derartige Manipulationen griffen.

Nach der einmaligen Installation auf einem Android-Smartphone soll Dvamp mehrere Schwachstellen des Betriebssystems ausnutzen und kann dabei die zugrundeliegende Android-Version rooten. Im Gegensatz zu früher aufgetauchter Malware soll Dvmap auch 64Bit-Systeme attackieren und schadhaften Code in Systembibliotheken einschleusen können. Besonders perfide ist, dass Dvmap auch Dialoge unterdrücken kann, mit denen der Nutzer über die Anforderung von erweiterten Administrator-Rechten informiert würde.

Über den Hersteller des Trojaners, der sich Retgumhoap Kanumep nennt, ist nur wenig bekannt, der von Kaspersky untersuchte Code soll Anmerkungen in chinesischer Sprache enthalten. Während der Untersuchung sollen die App bzw. die Malware mehrfach Verbindungen zu Servern aufgenommen haben, ohne dass dabei Aktionen ausgeführt wurden. Theoretisch wäre Dvmap dazu geeignet, weitere Malware auf das Smartphone zu laden oder Werbeanzeigen einzubinden – durch die Erschleichung der erweiterten Befugnisse stehen den Machern eigentlich alle erdenklichen Möglichkeiten offen.

Sicherheitsexperten gehen davon aus, dass die mittlerweile weite Verbreitung von funktionierenden Sicherheitslösungen für Windows-Betriebssysteme und die ohnehin stetig wachsende Nutzung mobiler Betriebssysteme wie iOS und Android dazu führt, dass sich Angreifer immer öfter auf Smartphones konzentrieren. Den Kriminellen kommt dabei entgegen, dass viele Smartphonehersteller gar nicht oder nur sehr verzögert Updates gegen längst entdeckte Exploits verbreiten. Das wiederum hat bei Android systembedingte Gründe, die Google schnellstmöglich in den Griff bekommen sollte.

Besonders problematisch ist, dass in jüngster Vergangenheit immer wieder Angriffsszenarien auftauchten, die ihren Ursprung in geheimdienstlichen Überwachungsaktivitäten und somit in staatlichen Institutionen hatten. Alle relevanten Hersteller – Microsoft, Apple, Google – haben in diesem Zusammenhang stets darauf hingewiesen, dass die jeweiligen Staaten damit die Sicherheit von Unternehmen und Bürgern gefährden.

Quelle: securelist.com via heise.de