Neue ‚Fakedebuggerd‘-Schwachstelle im Android 4.x-Betriebssystem ermöglicht Hackern Root-Zugriff

Table Of Contents

• Neue ‚Fakedebuggerd‘-Schwachstelle in allen Versionen des Android-Betriebssystems bis Lollipop ermöglicht Hackern Root-Zugriff
• Fakedebuggerd zielt auf Android 4.x-Geräte ab
• Vorgehensweise

Neue ‚Fakedebuggerd‘-Schwachstelle in allen Versionen des Android-Betriebssystems bis Lollipop ermöglicht Hackern Root-Zugriff

Sicherheitsforscher des chinesischen Antivirenunternehmens 360 haben eine neue Schwachstelle im Android-Betriebssystem von Google entdeckt, die als ‚Fakedebuggerd‘ bezeichnet wird. Diese neue Schwachstelle ermöglicht es potenziellen Hackern, Root-Zugriff zu erlangen, um Dateien zu installieren und Berechtigungen auf Smartphones und Tablets, die mit dem Android-Betriebssystem laufen, zu eskalieren und bösartige Codes nach Belieben auszuführen.

Laut den Forschern von 360 ermöglicht die Fakedebuggerd-Schwachstelle einem potenziellen Angreifer den Zugriff auf einen Bereich, der nur mit System- oder Root-Berechtigungen zugänglich ist. Die Schwachstelle nutzt zwei bekannte Privilegieneskalations-Exploits (PE) für Android 4.x, ‚FramaRoot‘ und ‚TowelRoot‘, um Code mit Root-Rechten auszuführen und ein Root-Toolkit auf dem Gerät zu installieren. Dies ermöglicht es dem potenziellen Hacker, den Code sowohl vor dem Android-Nutzer als auch vor den Sicherheitslösungen, die auf den Geräten laufen, zu verbergen. So kann der Hacker jede bösartige App ohne das Wissen der Nutzer injizieren.

Fakedebuggerd zielt auf Android 4.x-Geräte ab

Die Schwachstelle ist von hohem Risiko, da sie ernsthafte Privilegieneskalation für die Betreiber von Malware ermöglicht, und dies ist das erste Mal, dass die Forscher Privilegieneskalations-Schwachstellen in Android 4.x gefunden haben.

Wie oben erwähnt, nutzt sie zwei Exploits, ‚TowelRoot‘ und ‚FramaRoot‘ zusammen, was bedeutet, dass sie eine höhere Infektionsrate sowie höhere Chancen hat, sich vor den AV-Engines auf dem Gerät des Nutzers zu verbergen. Der Towelroot-Exploit basiert auf der futex()-Syscall-Schwachstelle (CVE-2014-3153). Diese Linux-Schwachstelle wurde vor fünf Monaten von Comex entdeckt und betrifft fast alle Android-Geräte vor Android 5.0 Lollipop.

Der andere Exploit, Framaroot, ist im Grunde ein Rooting-Tool und basiert auf mehreren Exploits für die meisten Samsung-, LG-, Huawei-, Asus- und ZTE-Geräte und mehr. Die Exploits, die Framaroot bilden, sind nach Helden der beliebten JRR Tolkien-Trilogie „Der Herr der Ringe“ benannt, wie Gandalf, Boromir, Pippin, Legolas, Sam, Frodo, Aragorn und Gimli. Fast alle Android-Smartphones, die von den oben genannten Unternehmen hergestellt werden, können Framaroot ziemlich einfach ausführen, was Fakedebuggerd zu einem sehr mächtigen Vektor macht.

Vorgehensweise

Sobald die Fakedebuggerd-Schwachstelle ausgenutzt und das Root-Toolkit auf dem infizierten Gerät bereitgestellt wird, sammelt der bösartige Code sensible Daten wie eindeutige Identifikatoren, Geräteversionen und Netzwerkverbindungsdaten. Darüber hinaus installiert es unnötige Apps wie Taschenlampe und Kalender ohne die Erlaubnis der Nutzer. Der Fakedbuggerd ist in seiner Absicht ziemlich aggressiv und verwendet extreme Maßnahmen, um sie installiert zu halten. Selbst wenn diese Apps vom Nutzer mit Root-Rechten entfernt werden, installiert der Fakedbuggerd sie automatisch mit Hilfe des PE-Exploits erneut.

Und wie oben erwähnt, wird aufgrund der perfekten Verstecktechnik der Malware das bloße Löschen der verdächtigen Apps in diesem Fall nicht funktionieren.

Die Fakedbuggerd-Malware ist eine ernsthafte Bedrohung aufgrund ihrer Fähigkeit, Root-Rechte zu erlangen und mit Malware beladene Codes auf infizierten Geräten auszuführen. In der heutigen Welt der Konvergenz, in der kritische und vertrauliche Unternehmensdaten und Mobiltelefone miteinander verbunden sind, kann Fakedbuggerd unvorhergesehenes Chaos verursachen.

Derzeit kann keine Sicherheitslösung oder Antivirenprogramm diese Malware erkennen, daher ist Vorsicht das beste Mittel, um sich vor einer Infektion durch diese Schwachstelle zu schützen.

• Halten Sie sich von Drittanbieter- und nicht verifizierten APKs fern und verwenden Sie die offiziellen Google Play-Apps zum Herunterladen.

• Selbst wenn Sie eine APK herunterladen müssen, bleiben Sie bei vertrauenswürdigen und gut bewerteten App-Entwicklern.

• Achten Sie auf gefälschte Werbung (Malvertisements) und Phishing-Links in allen Kommunikationsformen – SMS, E-Mail und sozialen Netzwerken.

Ressource: 360 Blog.