Experten des Cyber-Sicherheitsunternehmens Kaspersky Labs haben mit dem Trojaner Xhelper eine besonders anhängliche Android-Schadsoftware entdeckt. Mit konventionellen Methoden ist es beinahe unmöglich, den Trojaner wieder loszuwerden. Davon betroffen sind vor allem Geräte, auf denen die veralteten Android-Versionen 6 und 7 laufen. Die wiederum machen allerdings noch immer rund 15 Prozent aller im Umlauf befindlichen Android-Geräte aus. Verbreitet ist der Trojaner vor allem in Russland. Aber auch in Europa konnte Kaspersky Labs den Digitalschädling nachweisen.

„Das Hauptmerkmal von Xhelper ist die Verankerung – wenn es einmal auf dem Telefon ist, bleibt es auch nach dem Löschen und Wiederherstellen der Werkseinstellungen erhalten“, erklärt Sicherheitsforscher Igor Golovin in einem Blogbeitrag. Der Trojaner wird nicht über den Play-Store, sondern in alternativen Downloadquellen angeboten. Dort gibt sich Xhelper als Werkzeug zum Aufräumen von Android-Geräten aus. Nach der Installation verschwindet die angebliche Aufräum-App aus der App-Übersicht und lässt sich nur noch über die Anzeige der installierten Apps im Systemmenü aufspüren.

Infiziert der Xhelper ein Android-Smartphone, sendet der Trojaner zuerst alle möglichen Angaben über das Gerät an einen Server. Anschließend lädt Xhelper eine ganze Reihe weiterer Schadprogramme aus dem Internet herunter. Die neuen Schadmodule werden im ursprünglichen Applikationsordner abgelegt, auf den andere Programme keinen Zugriff haben. Unter Android 6 und 7 sichert sich Xhelper dann außerdem noch Root-Rechte und installiert mehrere Schadprogramme direkt in die Systempartition, indem diese vorübergehend vom Lese- in den Schreibmodus versetzt wird.

Das Opfer wiederum kann jedoch nicht einfach genauso vorgehen, um die Schadprogramme wieder zu entfernen. Denn dagegen haben die Macher der Software vorgesorgt: Die Malware ersetzt den Code des Mount-Befehls in der libc-Bibliothek und verhindert damit, dass Nutzerinnen und Nutzer die Systempartition selbst in den Schreibmodus versetzen können. Außerdem löscht die Schadsoftware sicherheitshalber auch alle Programme, über die Anwenderinnen und Anwender Root-Zugriff auf das System erhalten könnten.

Laut Golovin müssten Betroffene daher erst eine saubere Kopie der libc.so-Datei aus der Originalfirmware extrahieren und diese wieder einsetzen, bevor sie die verschiedenen Schadprogramme aus der Systempartition entfernen können. Am Ende, so Golovin, wäre es allerdings einfacher und effektiver, dass gesamte System neuaufzusetzen.

Aus Sicherheitsgründen sollten Nutzerinnen und Nutzer ausschließlich Apps aus dem Play-Store von Google und anderen vertrauenswürdigen Quellen installieren. Standardmäßig erlaubt das System auch keine Apps aus anderen Quellen als Googles offiziellem App-Verzeichnis. Zwar schaffen es Kriminelle immer wieder, auch in Googles Play-Store Schadsoftware einzuschleusen, die Gefahr ist jedoch deutlich geringer. Sofern die offiziellen Zahlen von Google stimmen, haben sich im Jahr 2018 lediglich 0,08 Prozent aller Nutzerinnen und Nutzer des Play-Stores Malware eingefangen.

Ebenfalls interessant:

• Android-Sicherheitslücke: Angreifer können Malware über Bluetooth versenden
• Zahl der Malware-Bedrohungen: Macs schlagen erstmals Windows-PCs
• 15 Tipps für mehr Sicherheit auf dem Smartphone