News

Besonders anhänglich: Diese Android-Malware lässt sich kaum entfernen

(Foto: Shutterstock)

Sicherheitsforscher haben eine äußerst hartnäckige Android-Schadsoftware entdeckt. Selbst wenn ein infiziertes Telefon in den Werkszustand zurückversetzt wird, bleibt der Trojaner auf dem Gerät.

Experten des Cyber-Sicherheitsunternehmens Kaspersky Labs haben mit dem Trojaner Xhelper eine besonders anhängliche Android-Schadsoftware entdeckt. Mit konventionellen Methoden ist es beinahe unmöglich, den Trojaner wieder loszuwerden. Davon betroffen sind vor allem Geräte, auf denen die veralteten Android-Versionen 6 und 7 laufen. Die wiederum machen allerdings noch immer rund 15 Prozent aller im Umlauf befindlichen Android-Geräte aus. Verbreitet ist der Trojaner vor allem in Russland. Aber auch in Europa konnte Kaspersky Labs den Digitalschädling nachweisen.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

„Das Hauptmerkmal von Xhelper ist die Verankerung – wenn es einmal auf dem Telefon ist, bleibt es auch nach dem Löschen und Wiederherstellen der Werkseinstellungen erhalten“, erklärt Sicherheitsforscher Igor Golovin in einem Blogbeitrag. Der Trojaner wird nicht über den Play-Store, sondern in alternativen Downloadquellen angeboten. Dort gibt sich Xhelper als Werkzeug zum Aufräumen von Android-Geräten aus. Nach der Installation verschwindet die angebliche Aufräum-App aus der App-Übersicht und lässt sich nur noch über die Anzeige der installierten Apps im Systemmenü aufspüren.

Xhelper: So penetrant ist die Android-Malware

Infiziert der Xhelper ein Android-Smartphone, sendet der Trojaner zuerst alle möglichen Angaben über das Gerät an einen Server. Anschließend lädt Xhelper eine ganze Reihe weiterer Schadprogramme aus dem Internet herunter. Die neuen Schadmodule werden im ursprünglichen Applikationsordner abgelegt, auf den andere Programme keinen Zugriff haben. Unter Android 6 und 7 sichert sich Xhelper dann außerdem noch Root-Rechte und installiert mehrere Schadprogramme direkt in die Systempartition, indem diese vorübergehend vom Lese- in den Schreibmodus versetzt wird.

Das Opfer wiederum kann jedoch nicht einfach genauso vorgehen, um die Schadprogramme wieder zu entfernen. Denn dagegen haben die Macher der Software vorgesorgt: Die Malware ersetzt den Code des Mount-Befehls in der libc-Bibliothek und verhindert damit, dass Nutzerinnen und Nutzer die Systempartition selbst in den Schreibmodus versetzen können. Außerdem löscht die Schadsoftware sicherheitshalber auch alle Programme, über die Anwenderinnen und Anwender Root-Zugriff auf das System erhalten könnten.

Laut Golovin müssten Betroffene daher erst eine saubere Kopie der libc.so-Datei aus der Originalfirmware extrahieren und diese wieder einsetzen, bevor sie die verschiedenen Schadprogramme aus der Systempartition entfernen können. Am Ende, so Golovin, wäre es allerdings einfacher und effektiver, dass gesamte System neuaufzusetzen.

Die Installation von Android-Apps aus unbekannten Quellen bleibt ein Sicherheitsrisiko

Aus Sicherheitsgründen sollten Nutzerinnen und Nutzer ausschließlich Apps aus dem Play-Store von Google und anderen vertrauenswürdigen Quellen installieren. Standardmäßig erlaubt das System auch keine Apps aus anderen Quellen als Googles offiziellem App-Verzeichnis. Zwar schaffen es Kriminelle immer wieder, auch in Googles Play-Store Schadsoftware einzuschleusen, die Gefahr ist jedoch deutlich geringer. Sofern die offiziellen Zahlen von Google stimmen, haben sich im Jahr 2018 lediglich 0,08 Prozent aller Nutzerinnen und Nutzer des Play-Stores Malware eingefangen.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung