IT-Lösungen für Fachabteilungen im Unternehmen

Montag, 7. August 2017

Android-Trojaner in Firmware eingebettet

Quelle: Doctor Web

Die Virenanalysten von Doctor Web haben einen Schädling entdeckt, der in die Firmware von Android-Geräten eingebettet ist. Der Trojaner, der unter dem Namen Android.Triada.231 geführt wird, ist in die Systembibliothek integriert, dringt in Prozesse laufender Apps ein und kann böswillige Module herunterladen.

Der Trojaner „Android.Triada.231“ ist in die Systembibliothek libandroid_runtime.so integriert und wurde bereits auf mehreren infizierten Gerätetypen wie Leagoo M5 Plus, Leagoo M8, Nomu S10 und Nomu S20 entdeckt. Da libandroid_runtime.so von allen Android-Apps verwendet wird, befindet sich der Schadcode im Speicher aller gestarteten Apps. Dabei ist Android.Triada.231 bereits in den Code der Android-Firmware eingefügt und bettet sich, wie alle Trojaner der Familie Android.Triada, in den Systemprozess der Komponente „Zygote“ ein, welche für das Starten von Apps verantwortlich ist.

Dadurch ist der Trojaner in der Lage, sich in sämtliche Apps einzuschleusen, sich deren Rechte zu sichern und böswillige Module herunterzuladen und zu starten. So kann sich Android.Triada.231 in verschiedene Module einbetten und auf laufende Programme Einfluss nehmen. Virenschreiber können daher jedes Mal einen Befehl zum Herunterladen und Starten von böswilligen Plug-ins abgeben und dadurch Cyber-Spionage betreiben.

Da Android.Triada.231 in die Systembibliothek integriert ist und im Systemverzeichnis liegt, kann er mit Standard-Tools nicht entfernt werden. Lediglich die Installation einer neuen, schadlosen Android-Firmware behebt das Problem. Die Sicherheitsspezialisten von Doctor Web haben Hersteller von kompromittierten Geräten bereits benachrichtigt und empfehlen regelmäßige Updates der Firmware. (rhh)

Hier geht es zu Doctor Web