Android-Malware, die 45K-Geräte plagt, bleibt ein Rätsel

Die Infektionsquelle hinter einer immer prekäreren mobilen Malware führt dazu, dass sich Forscher am Kopf kratzen.

Forscher sind auf der Jagd nach dem Infektionsvektor hinter einer mysteriösen mobilen Malware, die in den vergangenen sechs Monaten über 45.000 Android-Geräte infiziert hat.

Die Forscher gaben an, dass sie einen Anstieg der Erkennungen der Malware namens Xhelper festgestellt haben, die sich vor den Benutzern verstecken, bösartige Anwendungen auf das Telefon herunterladen und Popup-Werbung anzeigen kann. Für die Opfer ist die Malware vielleicht am frustrierendsten, denn sie ist hartnäckig - sie kann sich heimlich wieder installieren, nachdem die Opfer versucht haben, sie zu deinstallieren, so die Forscher von Symantec.

"Wir haben viele Benutzer gesehen, die in Online-Foren über Xhelper geschrieben und sich über zufällige Popup-Werbung und darüber beschwert haben, dass die Malware auch nach der manuellen Deinstallation weiterhin angezeigt wird", so die Forscher in einer Analyse am Dienstag.

Die Forscher versuchen immer noch, den Infektionsvektor, der zur Verbreitung von Xhelper verwendet wird, zu bestimmen. Keine der analysierten Proben wurde in Apps im Google Play Store gefunden.

Die Forscher vermuten jedoch, dass Xhelper eine Anwendungskomponente ist, die auf einigen Telefonmarken vorinstalliert ist. Wäre es eine Anwendungskomponente, würde sie nicht im Anwendungsstartprogramm des Geräts aufgeführt werden - was es der Malware laut den Forschern erleichtert, ihre bösartigen Aktivitäten verdeckt auszuführen.

"Wir halten es für unwahrscheinlich, dass Xhelper auf Geräten vorinstalliert ist, da diese Anwendungen keinen Hinweis darauf haben, dass es sich um Systemanwendungen handelt", so die Forscher. "Da es unwahrscheinlich ist, dass es sich bei den Anwendungen um Systemanwendungen handelt, deutet dies darauf hin, dass eine andere bösartige Systemanwendung ständig die Malware herunterlädt, was wir derzeit untersuchen.

Verschiedene Forscher haben andere Theorien. Die Forscher von Malwarebytes, die die Malware bereits im August zum ersten Mal analysierten, stellten die Hypothese auf, dass die Malware über Web-Direktoren oder Drittanbieter verbreitet wurde, d.h. über skizzenhafte Websites, die Benutzer zum Herunterladen nicht vertrauenswürdiger Anwendungen auffordern.

Nach erfolgreicher Verbindung mit dem C2-Server beginnt Xhelper mit der Anzeige von zufälligen Pop-ups und der Installation zusätzlicher Nutzdaten wie Dropper, Clicker und Rootkits auf dem angegriffenen Gerät.

"Wir glauben, dass der Pool an Malware, der auf dem [C2]-Server gespeichert ist, sehr groß und vielfältig in seiner Funktionalität ist und dem Angreifer mehrere Optionen bietet, darunter Datendiebstahl oder sogar die vollständige Übernahme des Geräts", so die Forscher.

Sobald Xhelper auf dem Gerät des Opfers Fuß gefasst hat, beginnt es mit der Ausführung seiner bösartigen Kernfunktionalität, indem es die in seinem Paket eingebettete bösartige Nutzlast im Speicher entschlüsselt. Die bösartige Nutzlast verbindet sich dann mit dem C2-Server des Angreifers und wartet auf Befehle.

"Um zu verhindern, dass diese Kommunikation abgefangen wird, wird für die gesamte Kommunikation zwischen dem Gerät des Opfers und dem [C2]-Server SSL-Zertifikat-Pinning verwendet", so die Forscher.

Erschwerend kommt hinzu, dass sich die Malware immer wieder auf dem Gerät installiert - auch nachdem das Opfer es deinstalliert oder ein Factory-Reset durchgeführt hat.

"Xhelper kann nicht manuell gestartet werden, da auf dem Startprogramm kein Anwendungssymbol sichtbar ist. Stattdessen wird die bösartige Anwendung durch externe Ereignisse gestartet, z.B. wenn das kompromittierte Gerät an die Stromversorgung angeschlossen oder von ihr getrennt wird, das Gerät neu gestartet oder eine Anwendung installiert oder deinstalliert wird", so die Forscher.

Als Xhelper im März 2019 zum ersten Mal gesehen wurde, hatte die Malware "relativ einfachen" Code und Hauptfunktionen, um die Opfer zum Besuch von Werbeseiten zu Monetarisierungszwecken zu zwingen. Seitdem hat sich der Code drastisch verändert.

Während anfangs die Fähigkeit der Malware, eine Verbindung zu einem C2-Server herzustellen, in die Malware geschrieben wurde, wurde diese Funktionalität schließlich verschlüsselte Nutzlast verschoben, um der Signaturerkennung zu entgehen.

"Wie bereits beschrieben, hat sich die Funktionalität von Xhelper in letzter Zeit drastisch erweitert", so die Forscher. "Wir sind der festen Überzeugung, dass der Quellcode der Malware noch in Arbeit ist.

In der Zwischenzeit fordern die Forscher die Nutzer auf, ihre Software auf dem neuesten Stand zu halten, das Herunterladen von Anwendungen von unbekannten Websites zu vermeiden und nur Anwendungen aus vertrauenswürdigen Quellen zu installieren.

Anzeige

Anzeige