![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Es ist mal wieder eine \u00e4u\u00dferst unerfreuliche Entdeckung, die Sicherheitsforscher von CheckPoint gemacht haben. Auf ca. 5 Millionen Android-Smartphones (teilweise sind illustre Hersteller dabei) wurde eine vorinstallierte Malware mit dem Namen RottenSys gefunden. <\/p>\n
<\/p>\n
Normalerweise erwartet man ja vorinstallierte Malware auf billigen China-Krachern \u2013 ich hatte ja mehrfach im Blog berichtet. Aber inzwischen trifft es auch angebliche Vorzeigeunternehmen wie Huawei, Xiaomi, Oppo und m\u00f6glicherweise Samsung. <\/p>\n Den Sicherheitsforschern von CheckPoint fiel vor einiger Zeit ein ungew\u00f6hnlicher Wi-Fi-Systemdienst (\u7cfb\u7edfWIFI\u670d\u52a1) auf einem Xiaomi Redmi-Telefon auf. Die CheckPoint-Test-Engines zeigen schnell, dass dieser keinen sicheren Wi-Fi-Dienst f\u00fcr Benutzer bietet. Stattdessen fragt der Dienst nach vielen sensiblen Android-Berechtigungen, wie z.B. Zugriffsberechtigungen f\u00fcr den Dienst zur erleichterten Bedienung, Lesezugriff auf den Benutzerkalender und Berechtigungen f\u00fcr den stillen Download, alles Sachen, die nicht mit den ben\u00f6tigten Berechtigungen f\u00fcr einen Wi-Fi-Dienst zusammenh\u00e4ngen.<\/p>\n Eine n\u00e4here Untersuchung des Diensts legte einige Techniken offen, die benutzt werden, um eine Entdeckung zu verhindern. <\/p>\n Sobald der Dropper auf dem aktiven Ger\u00e4t installiert ist, kontaktiert es seinen Command and Control (C&C) Server. Dieser schickt ihm eine Liste mit zus\u00e4tzlichen Komponenten, die f\u00fcr die Aktivit\u00e4t ben\u00f6tigt werden. Diese Komponenten enthalten den eigentlichen Schadcode und werden vom C&C-Server heruntergeladen, nachdem der Dropper die Liste erhalten hat.<\/p>\n RottenSys l\u00e4dt diese Komponenten im Hintergrund herunter und verwendet dabei die Berechtigung DOWNLOAD_WITHOUT_NOTIFICATION, die keine Benutzerinteraktion erfordert. In der Regel l\u00e4dt die Malware drei weitere Komponenten herunter. Sind alle notwendigen Komponenten heruntergeladen, verwendet RottenSys ein Open-Source Android-Framework namens Small (github.com\/wequick\/small): Dies ist ein Android-Applikationsvirtualisierungs-Framework. <\/p>\n Dieses Framework erm\u00f6glicht es, dass alle Komponenten gleichzeitig nebeneinander laufen. Damit kann die Malware ein Werbenetzwerk erreichen und \u00fcber dieses Werbung auf dem Home-Bildschirm des Ger\u00e4ts, als Pop-up-Fenster oder als Vollbildanzeige ausspielen. <\/p>\n RottenSys ist so angepasst, dass es die Guang Dian Tong (Tencent Ads Plattform) und Baidu Ad Exchange f\u00fcr seine Anzeigenbetrugsoperationen nutzen kann. Um zu vermeiden, dass der Betrieb durch das Android-System gestoppt wird, verwendet RottenSys ein anderes Open-Source-Framework namens MarsDaemon (github.com\/Marswin\/MarsDaemon). MarsDaemon h\u00e4lt Prozesse am Leben, behindert aber auch die Leistung des Ger\u00e4ts und entlastet die Batterie. <\/p>\n Nach bisherigen Erkenntnissen verf\u00fcgt RottenSys \u00fcber eine gro\u00dfe Anzahl an Nutzlast-Varianten (Dropper und Zusatzkomponenten). Jede Variante ist auf unterschiedliche Kampagnen, Ger\u00e4tetypen, Werbeplattformen und Spread-Channel zugeschnitten.<\/p>\n Erste Erw\u00e4hnungen gibt es wohl seit Oktober 2017. Benutzer in chinesischen Android-Foren haben sowohl Nebenwirkungen der App als auch aggressive Werbung bemerkt und beklagt. <\/p>\n In der Liste der beobachteten Malware-Vertriebskan\u00e4le sind den CheckPoint-Sicherheitsforschern zwei Namen (\"\"\u5929\u6e43\u684c\u9762\" und \"\"\u5929\u6e43\u6d45\u88c5\"), die auf eine m\u00f6gliche Verbindung zu einem in Hangzhou ans\u00e4ssigen Mobilfunk-Supply-Chain-Distributor Tian Pai hindeuten, aufgefallen.<\/p>\n Tian Pai hat als Fertiger 49,2% der befallenen Ger\u00e4te hergestellt. Nach Angaben des China National Enterprise Credit Information Publicity System bietet Tian Pai eine breite Palette von Dienstleistungen an, die von Presales-Anpassungen \u00fcber Online-\/Offline-Gro\u00dfhandel bis hin zur Kundenbetreuung reichen. Es deckt regionale Verk\u00e4ufe von Top-Marken im Markt wie Samsung, HTC, Apple, Xiaomi, ZTE, Coolpad, Lenovo und Huawei ab.<\/p>\n Tian Pai ist wohl nicht in die Malware-Kampagne eingebunden, schreiben die CheckPoint-Sicherheitsforscher. Aber es korreliert jedoch mit der Hypothese der Sicherheitsforscher, dass die Malware vor dem Kauf auf das Ger\u00e4t des Anwenders gelangt ist. Gem\u00e4\u00df obiger Grafik sind es nicht nur billige China-Kracher, die betroffen sind, sondern Namen wie Huawei, Xiaomi, Oppo, Samsung fallen in diesem Zusammenhang. <\/p>\n Aktuell scheinen nur chinesische Nutzer betroffen zu sein, da die Hinterm\u00e4nner die Kampagnen auf die Ger\u00e4te und Kan\u00e4le zuschneiden. Ich w\u00fcrde aber nicht ausschlie\u00dfen, dass auch Ger\u00e4te f\u00fcr andere M\u00e4rkte den Dienst enthalten, dieser liefert bisher nur keinen Ads aus (weil es keinen Sinn macht). Wer sich f\u00fcr die technischen Details interessiert, findet diese auf der CheckPoint-Seite in diesem Blog-Beitrag<\/a>.<\/p>\n Auch wenn die Fertiger und Hersteller aus China wohl nicht Teil der Kampagne sind, bringt mich das pers\u00f6nlich zur Frage, wie vertrauensw\u00fcrdig das ganze Zeugs aus dieser Quelle eigentlich noch ist. Halten wir doch einfach mal fest: Datenschutz und Privatsph\u00e4re ist in China ein Fremdwort. Gro\u00dfe IT-Hersteller kuscheln mit der chinesischen Regierung, um denen Daten der eigenen Bev\u00f6lkerung zur Verf\u00fcgung zu stellen. <\/p>\n Gerade ist dieser Reuters-Artikel<\/a> erschienen. Die Bev\u00f6lkerung wird ja einem Social Credit-System unterworfen, das jeden B\u00fcrger Chinas bewertet. Ab dem 1. Mai 2018 wird dieses Sozialkreditsystem auf Fl\u00fcge und Z\u00fcge angewandt und soll Menschen, deren soziales Kreditsystem angebliche Missetaten belegt, daran hindern, diese Transportsysteme bis zu einem Jahr lang in Anspruch zu nehmen.<\/p>\n Und Bloomberg berichtet hier<\/a> \u00fcber Hacker-Angriffe auf US-Firmen der Schifffahrtindustrie, die irgendwie im Zusammenhang mit den Querelen um Anspr\u00fcche auf Inseln im s\u00fcdchinesischen Meer involviert sind. Die Urheber der Hackerangriffe d\u00fcrften daher naheliegend sein. <\/p>\n Unter diesem Fokus dr\u00e4ngt sich die Frage auf: Selbst wenn Huawei, Xiaomi, Oppo & Co. nicht gezielt auf Spionage oder Malware in ihren Ger\u00e4ten hin arbeiten \u2013 k\u00f6nnen deren chinesische Entwickler \u00fcberhaupt ein Gesp\u00fcr daf\u00fcr entwickeln, was in anderen Teilen der Welt sensitiv und ein No-Go ist? Das Agieren und Handeln der chinesischen Entwickler d\u00fcrfte von deren Lebenswirklichkeit gepr\u00e4gt sein. Lebe ich in einer \u00dcberwachungsgesellschaft, wo die Weitergabe von Daten normal ist, wird man sich keinen Kopf machen, wenn eine Funktion f\u00fcr einen ausl\u00e4ndischen Kunden ein paar Daten mehr abgreift. <\/p>\n Mein Bauchgef\u00fchl und meine Erfahrung sagt mir, dass das eines der gr\u00f6\u00dften Probleme f\u00fcr China werden k\u00f6nnte \u2013 es sei denn, die Konsumenten fressen das problemlos und Chinas \u00dcberwachungstechnik kommt durch die Hintert\u00fcr in die Welt. Das ist dann der Punkt, wo ich f\u00fcr die Positionen unserer neuen Staatsministerin f\u00fcr Digitals, Dorothee B\u00e4r, die sich \u00fcber den Datenschutz des 18. Jahrhunderts mokiert, \u00fcberhaupt kein Verst\u00e4ndnis aufbringen kann. Oder wie seht ihr das? (via<\/a>)<\/p>\n \u00c4hnliche Artikel:<\/strong> Es ist mal wieder eine \u00e4u\u00dferst unerfreuliche Entdeckung, die Sicherheitsforscher von CheckPoint gemacht haben. Auf ca. 5 Millionen Android-Smartphones (teilweise sind illustre Hersteller dabei) wurde eine vorinstallierte Malware mit dem Namen RottenSys gefunden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,1018],"class_list":["post-202314","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-malware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202314"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202314\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}In einem Blog-Beitrag<\/a> legen die Sicherheitsforscher von CheckPoint Details der Malware-Kampagne offen, die seit 2016 wohl um die 5 Millionen Android-Ger\u00e4te befallen hat. Bei der RottenSys getauften Malware handelt es sich um Adware f\u00fcr Mobilger\u00e4te, die wohl bereits irgendwo in der Fertigung der Smartphones in die Firmware eingef\u00fcgt wurde. <\/p>\n
Wi-Fi-Dienst auf Xiaomi Redmi-Phone aufgefallen<\/h2>\n
![\"RottenSys-Berechtigungen\"](\"https:\/\/i.imgur.com\/jRCZYAr.jpg\"\/ "\\"RottenSys-Berechtigungen\\"")
(RottenSys-Berechtigungen, Auszug, Quelle: CheckPoint)<\/p>\nMehr Details zur Malware<\/h2>\n
\n
Chinesische Ads-Plattformen<\/h2>\n
![\"Infektionen](\"https:\/\/web.archive.org\/web\/20221201214112\/https:\/\/research.checkpoint.com\/wp-content\/uploads\/2018\/03\/Fig6-1.png\" "\\"Infektionen")
(Infektionen mit Rottensys, Quelle: CheckPoint)<\/p>\nEin Fertiger bekannter Hersteller betroffen?<\/h2>\n
![\"Rottensys-Geräteinfektionen](\"https:\/\/web.archive.org\/web\/20221201214058\/https:\/\/research.checkpoint.com\/wp-content\/uploads\/2018\/03\/Fig7-1.png\"\/ "\\"Rottensys-Geräteinfektionen")
(Rottensys-Ger\u00e4teinfektionen nach Hersteller, Quelle: CheckPoint)<\/p>\nAbschlie\u00dfende Gedanken<\/h2>\n
Backdoor in China-Hardware<\/a>
Backdoor\/Rootkit bei 3 Millionen China-Handys entdeckt<\/a>
Backdoor in China-Phones \"telefoniert nach Hause\"<\/a>
Android-Backdoor in China-Phones<\/a>
Billige China-Kracher mit Android-Trojaner inside<\/a>
Finger weg von der Android Meitu-Selfie-App<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"