Die Welle der Schadsoftwares, welche Geräte mit dem Betriebssystem Android angreifen, ebbt nicht ab. Nach Stagefright im August und Brain Test im September (sowie den Apple-Schädlingen KeyRaider und XcodeGhost) folgt jetzt eine weitere aggressive Datenflut. Kemoge wird der Eindringling genannt und wieder ist es unter anderem die kalifornische IT-Sicherheitsfirma FireEye, die als erstes vor ihm warnt.
Aggressive Adware namens Kemoge
Die Adware verbreitet sich aktuell sehr schnell und ist nicht so leicht verfolgbar. Sie nutzt zur Verbreitung eine sogenannte Command and Control Domain (C&C). Deren URL lautet aps.kemoge.net. Eine der Eigenschaften von C&C Domains und entsprechenden Servern ist die stete Änderung der eigenen Kennung bzw. weitere Maßnahmen, die dazu führen, dass sie schwer zurückverfolgt werden können.
Wie verbreitet sich die Adware genau?
Der Nutzer kann sich das Schadprogramm recht schnell und vorerst unbemerkt auf das Android-Gerät laden. Durch Repackaging bringt es sich in App-Angebote von Drittanbietern ein und wird dann mit der jeweiligen App installiert.
Was macht das Programm auf dem Gerät?
Nachdem Kemoge entpackt und mit der Haupt-App installiert wurde, sammelt die Software Daten des Geräts sowie des Nutzers und schickt sie zu ihrem Server. Gleichzeitig bekommt der Nutzer aufdringliche Werbung auf seinem Gerät angezeigt.
Da Kemoge darüber hinaus auch noch dafür sorgt, dass es Root-Rechte bekommt und somit steuernd auf das System zugreifen kann, wird eine Deinstallation fast unmöglich. Insgesamt werden acht sogenannte Root Exploits gesetzt. Diese können vor dem Deinstallieren schützen bzw. eine Neuinstallation anordnen.
Zudem kann Kemoge durch das Zusammenspiel der Root Exploits und des C&C Servers beliebige Apps auf dem Android-Gerät installieren, deinstallieren oder starten. Damit lassen sich im Hintergrund theoretisch auch Spionage-Programme aufspielen und das Endgerät komplett fremdsteuern.
Wie kann man sich vor Kemoge schützen?
Insgesamt sollen laut FireEye bereits Geräte und Nutzer in über 20 Ländern von der Adware betroffen sein. Neben Privatpersonen betrifft das Problem aber auch Unternehmen und Behörden.
FireEye empfiehlt daher jedem Android-Nutzer, Apps nur aus dem offiziellen Store (Google Play) zu laden. Außerdem sollten die Geräte immer auf dem aktuellsten Stand sein, damit alle bisher bekannten Sicherheitslücken geschlossen sind. Als dritte Schutzmaßnahme gilt es, keine verdächtigen Links zu öffnen.
prepaid-flat.net