RottenSys-Malware vorinstalliert auf 5 Mio. Smartphones

Es ist mal wieder eine äußerst unerfreuliche Entdeckung, die Sicherheitsforscher von CheckPoint gemacht haben. Auf ca. 5 Millionen Android-Smartphones (teilweise sind illustre Hersteller dabei) wurde eine vorinstallierte Malware mit dem Namen RottenSys gefunden.


Anzeige

In einem Blog-Beitrag legen die Sicherheitsforscher von CheckPoint Details der Malware-Kampagne offen, die seit 2016 wohl um die 5 Millionen Android-Geräte befallen hat. Bei der RottenSys getauften Malware handelt es sich um Adware für Mobilgeräte, die wohl bereits irgendwo in der Fertigung der Smartphones in die Firmware eingefügt wurde.

Wi-Fi-Dienst auf Xiaomi Redmi-Phone aufgefallen

Normalerweise erwartet man ja vorinstallierte Malware auf billigen China-Krachern – ich hatte ja mehrfach im Blog berichtet. Aber inzwischen trifft es auch angebliche Vorzeigeunternehmen wie Huawei, Xiaomi, Oppo und möglicherweise Samsung.

Den Sicherheitsforschern von CheckPoint fiel vor einiger Zeit ein ungewöhnlicher Wi-Fi-Systemdienst (系统WIFI服务) auf einem Xiaomi Redmi-Telefon auf. Die CheckPoint-Test-Engines zeigen schnell, dass dieser keinen sicheren Wi-Fi-Dienst für Benutzer bietet. Stattdessen fragt der Dienst nach vielen sensiblen Android-Berechtigungen, wie z.B. Zugriffsberechtigungen für den Dienst zur erleichterten Bedienung, Lesezugriff auf den Benutzerkalender und Berechtigungen für den stillen Download, alles Sachen, die nicht mit den benötigten Berechtigungen für einen Wi-Fi-Dienst zusammenhängen.

RottenSys-Berechtigungen
(RottenSys-Berechtigungen, Auszug, Quelle: CheckPoint)


Anzeige

Mehr Details zur Malware

Eine nähere Untersuchung des Diensts legte einige Techniken offen, die benutzt werden, um eine Entdeckung zu verhindern.

  • Die erste Strategie besteht darin, den Betrieb der Malware-Funktionen um eine bestimmte Zeit zu verschieben, um eine Verbindung zwischen der bösartigen Anwendung und der bösartigen Aktivität zu vermeiden.
  • Als zweite Ausweichmethode enthält RottenSys nur eine Dropper-Komponente, die zunächst keine böswilligen Aktivitäten anzeigt. Auch damit soll eine schnelle Entdeckung verhindert werden.

Sobald der Dropper auf dem aktiven Gerät installiert ist, kontaktiert es seinen Command and Control (C&C) Server. Dieser schickt ihm eine Liste mit zusätzlichen Komponenten, die für die Aktivität benötigt werden. Diese Komponenten enthalten den eigentlichen Schadcode und werden vom C&C-Server heruntergeladen, nachdem der Dropper die Liste erhalten hat.

RottenSys lädt diese Komponenten im Hintergrund herunter und verwendet dabei die Berechtigung DOWNLOAD_WITHOUT_NOTIFICATION, die keine Benutzerinteraktion erfordert. In der Regel lädt die Malware drei weitere Komponenten herunter. Sind alle notwendigen Komponenten heruntergeladen, verwendet RottenSys ein Open-Source Android-Framework namens Small (github.com/wequick/small): Dies ist ein Android-Applikationsvirtualisierungs-Framework.

Dieses Framework ermöglicht es, dass alle Komponenten gleichzeitig nebeneinander laufen. Damit kann die Malware ein Werbenetzwerk erreichen und über dieses Werbung auf dem Home-Bildschirm des Geräts, als Pop-up-Fenster oder als Vollbildanzeige ausspielen.

Chinesische Ads-Plattformen

RottenSys ist so angepasst, dass es die Guang Dian Tong (Tencent Ads Plattform) und Baidu Ad Exchange für seine Anzeigenbetrugsoperationen nutzen kann. Um zu vermeiden, dass der Betrieb durch das Android-System gestoppt wird, verwendet RottenSys ein anderes Open-Source-Framework namens MarsDaemon (github.com/Marswin/MarsDaemon). MarsDaemon hält Prozesse am Leben, behindert aber auch die Leistung des Geräts und entlastet die Batterie.

Nach bisherigen Erkenntnissen verfügt RottenSys über eine große Anzahl an Nutzlast-Varianten (Dropper und Zusatzkomponenten). Jede Variante ist auf unterschiedliche Kampagnen, Gerätetypen, Werbeplattformen und Spread-Channel zugeschnitten.

Infektionen mit Rottensys
(Infektionen mit Rottensys, Quelle: CheckPoint)

Erste Erwähnungen gibt es wohl seit Oktober 2017. Benutzer in chinesischen Android-Foren haben sowohl Nebenwirkungen der App als auch aggressive Werbung bemerkt und beklagt.

Ein Fertiger bekannter Hersteller betroffen?

In der Liste der beobachteten Malware-Vertriebskanäle sind den CheckPoint-Sicherheitsforschern zwei Namen (""天湃桌面" und ""天湃浅装"), die auf eine mögliche Verbindung zu einem in Hangzhou ansässigen Mobilfunk-Supply-Chain-Distributor Tian Pai hindeuten, aufgefallen.

Tian Pai hat als Fertiger 49,2% der befallenen Geräte hergestellt. Nach Angaben des China National Enterprise Credit Information Publicity System bietet Tian Pai eine breite Palette von Dienstleistungen an, die von Presales-Anpassungen über Online-/Offline-Großhandel bis hin zur Kundenbetreuung reichen. Es deckt regionale Verkäufe von Top-Marken im Markt wie Samsung, HTC, Apple, Xiaomi, ZTE, Coolpad, Lenovo und Huawei ab.

Rottensys-Geräteinfektionen nach Hersteller
(Rottensys-Geräteinfektionen nach Hersteller, Quelle: CheckPoint)

Tian Pai ist wohl nicht in die Malware-Kampagne eingebunden, schreiben die CheckPoint-Sicherheitsforscher. Aber es korreliert jedoch mit der Hypothese der Sicherheitsforscher, dass die Malware vor dem Kauf auf das Gerät des Anwenders gelangt ist. Gemäß obiger Grafik sind es nicht nur billige China-Kracher, die betroffen sind, sondern Namen wie Huawei, Xiaomi, Oppo, Samsung fallen in diesem Zusammenhang.

Aktuell scheinen nur chinesische Nutzer betroffen zu sein, da die Hintermänner die Kampagnen auf die Geräte und Kanäle zuschneiden. Ich würde aber nicht ausschließen, dass auch Geräte für andere Märkte den Dienst enthalten, dieser liefert bisher nur keinen Ads aus (weil es keinen Sinn macht). Wer sich für die technischen Details interessiert, findet diese auf der CheckPoint-Seite in diesem Blog-Beitrag.

Abschließende Gedanken

Auch wenn die Fertiger und Hersteller aus China wohl nicht Teil der Kampagne sind, bringt mich das persönlich zur Frage, wie vertrauenswürdig das ganze Zeugs aus dieser Quelle eigentlich noch ist. Halten wir doch einfach mal fest: Datenschutz und Privatsphäre ist in China ein Fremdwort. Große IT-Hersteller kuscheln mit der chinesischen Regierung, um denen Daten der eigenen Bevölkerung zur Verfügung zu stellen.

Gerade ist dieser Reuters-Artikel erschienen. Die Bevölkerung wird ja einem Social Credit-System unterworfen, das jeden Bürger Chinas bewertet. Ab dem 1. Mai 2018 wird dieses Sozialkreditsystem auf Flüge und Züge angewandt und soll Menschen, deren soziales Kreditsystem angebliche Missetaten belegt, daran hindern, diese Transportsysteme bis zu einem Jahr lang in Anspruch zu nehmen.

Und Bloomberg berichtet hier über Hacker-Angriffe auf US-Firmen der Schifffahrtindustrie, die irgendwie im Zusammenhang mit den Querelen um Ansprüche auf Inseln im südchinesischen Meer involviert sind. Die Urheber der Hackerangriffe dürften daher naheliegend sein.

Unter diesem Fokus drängt sich die Frage auf: Selbst wenn Huawei, Xiaomi, Oppo & Co. nicht gezielt auf Spionage oder Malware in ihren Geräten hin arbeiten – können deren chinesische Entwickler überhaupt ein Gespür dafür entwickeln, was in anderen Teilen der Welt sensitiv und ein No-Go ist? Das Agieren und Handeln der chinesischen Entwickler dürfte von deren Lebenswirklichkeit geprägt sein. Lebe ich in einer Überwachungsgesellschaft, wo die Weitergabe von Daten normal ist, wird man sich keinen Kopf machen, wenn eine Funktion für einen ausländischen Kunden ein paar Daten mehr abgreift.

Mein Bauchgefühl und meine Erfahrung sagt mir, dass das eines der größten Probleme für China werden könnte – es sei denn, die Konsumenten fressen das problemlos und Chinas Überwachungstechnik kommt durch die Hintertür in die Welt. Das ist dann der Punkt, wo ich für die Positionen unserer neuen Staatsministerin für Digitals, Dorothee Bär, die sich über den Datenschutz des 18. Jahrhunderts mokiert, überhaupt kein Verständnis aufbringen kann. Oder wie seht ihr das? (via)

Ähnliche Artikel:
Backdoor in China-Hardware
Backdoor/Rootkit bei 3 Millionen China-Handys entdeckt
Backdoor in China-Phones "telefoniert nach Hause"
Android-Backdoor in China-Phones
Billige China-Kracher mit Android-Trojaner inside
Finger weg von der Android Meitu-Selfie-App


Anzeige

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu RottenSys-Malware vorinstalliert auf 5 Mio. Smartphones

  1. Hans van Aken sagt:

    Um mit Theodor Fontane zu sprechen: es ist ein weites Feld… Bin ich nur
    froh, daß mein Handy nur telefonieren kann, aber selbst da kann man
    noch ausspioniert werden, und wenn es "nur" die Metadaten sind.
    Eindeutig zugeordnet werden kann das ja alles, seitdem man z.B. bei
    Aldi (O2/Eplus) den Personalausweis vorlegen muß zur Aktivierung der SIM-Karte,
    sogar wenn man das online selber macht muß man sich per WebCam
    selber fotografieren lassen und dabei den Ausweis in die Kamera halten.
    Von den beschriebenen chinesischen Verhältnissen ist das nicht mehr weit entfernt.
    Nennt sich dann prepaid. Wo ist nur die Aufbruchstimmung der neunziger Jahre
    geblieben? Mehr und mehr wird Internetnutzung zu einer Bedrohung, es sei denn,
    man ist ein völlig verblödetes Teenie. Irgendwann aber merken auch die,
    wo der Hase läuft, dann aber werden die gesammelten Daten und die daraus
    gebildeten Profle nicht mehr zurückholbar sein, und eine Frau Bär wird daran
    auch nichts ändern, ist sie doch selbst ein (vierzigjähriges) Teenie.

    Gr. H.v.A.

    Ob die Aldi-Tablets, die für die Ausweiserfassung benutzt werden, wenigstens
    eine SSL-verschlüsselte Leitung benutzen, damit nicht jeder Hinz und Kunz
    mitlesen kann, ist unbekannt. Wer weiß, vielleicht verkaufen sie solche
    Daten gleich gebündelt an alle möglichen Interessenten. Moral im Tiefflug…

  2. Manuhiri sagt:

    Auch für mich wird das Hohe Lied auf die Digitalisierung langsam eher zu einer Bedrohung. Der neue Facebook-Skandal ist nur eine dieser Geschichten. Ich nutze dieses ganze Zeugs nicht, aber aus der Nummer raus ist man damit nicht. Meine Nachbarn sind ein chinesisches Pärchen, die "Wirtschaftsinformatik" studieren (und abgeschlossen haben). Da war mir dann klar, woher der Wind weht. Ob man sich mit Anfang 20 der Tragweite bewußt ist, mit der chinesische Volkskongress die Machtbasis vergrößern will, wage ich zu bezweifeln. Obendrein verkaufen wir ihnen, was sie haben wollen und Bildung gibt es noch oben drauf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.