Noch nicht in freier Wildbahn gesehen:
Rootkit für Android entwickelt

von Werner Veith (werner.veith@networkcomputing.de), Mathew J. Schwartz

Share
07.06.2010

In einer Art Machbarkeitsstudie haben zwei Sicherheitsforscher bei Trustwave ein Rootkit für Android entwickelt. Im Gegensatz zu Windows ist eine Rootkit-Suche schwieriger. Nun geht es darum, Abwehrstrategien zu entwickeln.

Android hat eine wachsende Popularität bei Smartphones. Auch bei den Tablet-Rechnern ist es im Rennen. Nun zeigt sich, dass Android durch Rootkits verwundbar ist. Erklärt haben das die zwei Forscher Nicholas Percoco und Christian Papathanasiou von Trustwave in einer Ankündigung für die Def-Con-Website [1]: »Wir haben ein Android-Rootkit auf Kernel-Ebene entwickelt. Es kommt in Form eines nachladbaren Kernel-Moduls«. Läuft das Rootkit einmal auf einem Smartphone mit dem auf Linux basierenden Android, bekommt der Hacker sehr einfach die Kontrolle: Jemand ruft eine »Trigger Nummer« auf und bekommt über TCP den vollen Zugriff als Root auf dem Gerät.

Auf der Def Con 18 Ende Juli wollen zwei Forscher ein Android-Rootkit live vorstellen.

Die Forscher wollen den Angriff auf ein Android-System live auf der Def-Con-Konferenz im Ende nächsten Monats zeigen. Dieser Angriff stellt im Moment lediglich eine Machbarkeitsstudie dar. In der Wildnis ist diese Attacke bisher nicht aufgetaucht. Allerdings ergeben sich durch die Möglichkeit, ein Gerät vollständig unter die Kontrolle zu bekommen, ein paar unangenehme Möglichkeiten.

So können die Angreifer nach Angaben der Forscher »nun alle SMS-Nachrichten auf dem Gerät lesen, den Besitzer mit Gebühren belasten oder möglicherweise sogar die GPS-Position des Geräts erfassen.« Hinzu kommen die Forschungsergebnisse, die zwei Rutgers-Professoren im Februar veröffentlicht haben: PCs verwendeten oft virtuelle Maschinen (VMs), um Rootkits zu entdecken. Smartphones hätten aktuell aber nicht die Rechenleistung, um VMs laufen zu lassen.

Mögliche Angriffe gegen Smartphones

Daher sind Smartphones aktuell gegen eine Reihe von Angriffen verwundbar, wenn es die passende Malware dort läuft. So sind etwa Abhöraktionen denkbar: Ein Angreifer sendet eine Textnachricht an das Gerät. Dieses wählt nun unmerkbar eine bestimmte Rufnummer an und lässt die Leitung offen.

Über eine SMS ließe sich wohl die GPS-Koordinaten an eine bestimmte E-Mail-Adresse schicken. Forscher wollen damit zeigen, dass Menschen mit genügend tiefem Computer-Wissen solche Rootkits bauen können. Es geht für sie nun darum, entsprechende Abwehrmechanismen zu entwickeln.

»Am einfachsten wäre es für die Kriminellen, wenn sie ihre Malware auf das Smartphone bekommen und so einen sicheren physikalischen Zugang zu dem Gerät haben«, so Graham Cluley, Senior-Technology-Consultant bei Sophos. »Cyber-Gangster könnten aber auch versuchen, eine Schwachstelle auf dem Android-System auszunutzen, für die es noch keinen Patch gibt.

Möglich ist aber auch ein Social-Engineering-Trick, der den Nutzer veranlasst, den Schadcode zu installieren.« Es ließe sich aber auch eine Fake-Software über Android Market anbieten. Dann müssten Cyber-Kriminellen dabei aber Sicherheitsmechanismen von Google dort austricksen. Alternativ könnten sie sich auch auf Anwender konzentrieren, die auch Applikationen installieren, die nicht auf Android Market verfügbar sind.

[1] http://www.defcon.org/

Verwandte Artikel