Wie gelangt Schadsoftware auf unsere Geräte? In der Regel handelt es sich um verdächtige Downloads. Die Rede ist von E-Mail-Anhängen unbekannter Absender oder dem Herunterladen von APKs von zwielichtigen Websites. Aber die Firmware ist bereits vorinstalliert, bevor die Geräte überhaupt in den Handel kommen? Das kommt selten vor, ist aber auch eine bedauerliche Realität, so Forscher, die eine Android-Hintertür namens Keenadu entdeckt haben.
Forscher entdecken, dass in der Firmware eine Android-Hintertür vorinstalliert ist
Die Forscher von Kaspersky haben kürzlich eine Android-Hintertür namens Keenadu entdeckt. Nun sind diese Arten von Hintertüren nicht gerade neu. Was ihre Ergebnisse jedoch beunruhigend und besorgniserregend macht, ist die Art und Weise, wie die Malware in den Firmware-Erstellungsprozess des Geräts eingefügt wurde. Dies bedeutet, dass die Telefone bereits infiziert sind, bevor sie die Benutzer erreichen.
Stellen Sie sich vor, Sie kaufen ein brandneues Telefon oder Tablet, nur um festzustellen, dass es Malware enthält, die den Angreifern Zugriff auf Ihr Gerät verschaffen könnte, sobald Sie es einschalten. Die Forscher sagen: „Die Infektion trat während der Firmware-Erstellungsphase auf, in der eine schädliche statische Bibliothek mit libandroid_runtime.so verknüpft wurde. Sobald die Malware auf dem Gerät aktiv war, injizierte sie sich in den Zygote-Prozess, ähnlich wie (die Triada-Hintertür). In mehreren Fällen wurde die kompromittierte Firmware mit einem OTA-Update bereitgestellt.“
Sie vermuten auch, dass dies auf einen Kompromiss in der Lieferkette zurückzuführen ist. „Eine Stufe der Firmware-Lieferkette wurde kompromittiert, was zur Aufnahme einer böswilligen Abhängigkeit in den Quellcode führte. Folglich wussten die Anbieter möglicherweise nicht, dass ihre Geräte infiziert waren, bevor sie auf den Markt kamen.“
Bisher bestätigen die Forscher, dass rund 13.000 Geräte infiziert wurden. Welche Marken oder Modelle betroffen sind, wurde nicht bekannt gegeben, die Anbieter wurden jedoch benachrichtigt. Hoffentlich arbeiten sie bereits an einer Lösung, um saubere Firmware-Updates zu veröffentlichen.
Googles Antwort
Was können Sie also tun, wenn Sie zufällig ein Gerät besitzen, das mit der Keenadu-Android-Hintertür infiziert ist? Nun, es stellt sich heraus, dass Sie möglicherweise nichts tun müssen. Solange Ihr Gerät Play Protected-zertifiziert ist, sollten Sie offenbar davor geschützt sein.
Dies geht aus einer Erklärung von Google gegenüber der Android Authority hervor. Der Google-Sprecher wurde mit den Worten zitiert: „Android-Benutzer werden automatisch vor bekannten Versionen dieser Malware durch Google Play Protect geschützt, das auf Android-Geräten mit Google Play-Diensten standardmäßig aktiviert ist. Google Play Protect kann Benutzer warnen und Apps deaktivieren, von denen bekannt ist, dass sie Keenadu-bezogenes Verhalten zeigen, selbst wenn diese Apps von Quellen außerhalb von Play stammen. Als beste Sicherheitsmaßnahme empfehlen wir Benutzern, sicherzustellen, dass ihr Gerät Play Protect-zertifiziert ist.“
