![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Zum Feierabend noch zwei Sicherheitsmeldungen f\u00fcr Android-Ger\u00e4tebesitzer. Es gibt mal wieder neue Malware f\u00fcr Android mit den Namen Copycat und SpyDealer. Zudem d\u00fcrfte eine neue Sicherheitsl\u00fccke einen ganzen Schwung Androiden bedrohen. <\/p>\n
<\/p>\n
Das Thema ist nicht wirklich lustig: Da setzen die Hersteller alles daran, dass Nutzer ihre Android-Ger\u00e4te nicht rooten k\u00f6nnen, und dann schafft eine Malware das mal nebenbei. <\/p>\n
In den letzten 1,5 Jahren ist es einer Malware CopyCat gelungen, \u00fcber 14 Millionen Android-Ger\u00e4te zu infizieren. Dabei wurden 8 Millionen Ger\u00e4te so nebenbei gerootet, und die Adware klinkte sich in einen Systemprozess ein. Die Urheber habe es mit der Adware geschafft, mehr als. 1,5 Millionen US $ an Werbeeinnahmen zu generieren. <\/p>\n
Die Adware nutze insgesamt f\u00fcnf Exploits (CVE-2014-4321, CVE-2014-4324, CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot), CVE-2014-3153 (Towelroot)), um Android-Ger\u00e4te zu rooten und sich dann im Zygote Android Core-Prozess einzunisten. Als Folge sind Android. Auf Grund der oben genannten Exploits werden Android-Ger\u00e4te bis zur Version 5.x (Lollipop) befallen \u2013 weil die Sicherheitsl\u00fccken niemals geschlossen worden. <\/p>\n
Der Zygote-Prozess kontrolliert den App-Start. Dadurch konnte die Adware die Werbung anderer Apps mit eigener Werbung ersetzen. Aufgedeckt hat das der Sicherheitsanbieter CheckPoint, der in diesem Blog-Beitrag<\/a> folgende Karte zur Verbreitung ver\u00f6ffentlichte.<\/p>\n Installiert wird die Malware durch infizierte Apps aus Dritt-App-Stores. Die Verbreitung zeigt, dass die Malware in Asien und Afika grassiert. Es finden sich Hinweise, die zum chinesischen Anbieter MobiSummer f\u00fchren. Dieser betreibt ein Ad-Netzwerk. Es ist aber unklar, ob diese Firma die Adware verteilt oder ob deren Server gehackt wurden. Allerding ist auff\u00e4llig, dass chinesische Android-Ger\u00e4te durch die Malware nicht befallen werden \u2013 die Hinterm\u00e4nner wollen wohl keinen Besuch der chinesischen Firmen. Weitere Hinweise finden sich bei Bleeping Computer (Englisch<\/a>) und bei ZDNet (Deutsch). <\/p>\n Eine weitere Malware mit den Namen SpyDealer wird hier bei Bleeping Computer<\/a> beschrieben. Es handelt sich um einen sehr ausgebufften Trojaner, der jedes vierte Android-Ger\u00e4t rooten kann und dann Daten von \u00fcber 40 Apps und den Ger\u00e4testandort abrufen kann. Hier die Liste der Apps:<\/p>\n WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail, Taobao, und Baidu Net Disk<\/p>\n<\/blockquote>\n Entdeckt wurde die Malware von Palo Alto Network, die die Aktivit\u00e4ten bereits seit 2015 beobachten. Die meisten Infektionen sind wohl in China zu verzeichnen, wie man diesem Bericht<\/a> entnehmen kann. <\/p>\n Gestern hatte ich im Blog-Beitrag Android Sicherheitsupdates Juli 2017<\/a> auf das Google Sicherheitsupdate f\u00fcr Juli 2017 hingewiesen. Es ist zwar l\u00f6blich, dass Google diese Updates herausgibt. Aber kaum ein Android-Ger\u00e4t au\u00dfer den neuestens Google Nexus und Pixel bekommt diese Updates. Vor allen d\u00fcmpeln Millionen ungepatchte Androiden in der Welt herum und erm\u00f6glichen die in den obigen Abschnitten beschriebenen Malware-Angriffe.<\/p>\n Im Juli 2017-Update beschreibt Google neben Schwachstellen im Media Server auch einen kritischen Bug im Broadcom Wi-Fi-Treiber. Dieser Bug erm\u00f6glicht es einem Angreifer Code im Kernel-Modus auszuf\u00fchren. Das Ganze wird als Broadpwn bezeichnet, wie man hier<\/a> nachlesen kann. Details \u00fcber diese Sicherheitsl\u00fccke sollen auf der Black Hat-Konferenz Ende des Monats ver\u00f6ffentlicht werden. Die Vorank\u00fcndigung des Vortrags gibt folgendes an:<\/p>\n \"Meet Broadpwn, a vulnerability in Broadcom's Wi-Fi chipsets which affects millions of Android and iOS devices, and can be triggered remotely, without user interaction. The Broadcom BCM43xx family of Wi-Fi chips is found in an extraordinarily wide range of mobile devices \u2013 from various iPhone models, to HTC, LG, Nexus and practically the full range of Samsung flagship devices,\"<\/p>\n<\/blockquote>\n![\"CopyCat](\"http:\/\/i.imgur.com\/eddaIOI.jpg\"\/ "\\"CopyCat")
(Quelle: CheckPoint)<\/p>\nSpyDealer Malware rootet jedes vierte Android-Ger\u00e4t<\/h2>\n
\n
Sicherheitsl\u00fccke im Broadcom Wi-Fi-Treiber<\/h2>\n
\n