Adware Shedun nistet sich gegen den Willen der Nutzer in Android ein
Die Malware greift dafür auf den Android Accessibility Service zurück. Der Dienst wurde konzipiert, um Sehbehinderten den Umgang mit Android zu erleichtern. Zuvor muss ein Nutzer jedoch der Installation einer schädlichen App zustimmen, die anschließend den Trojaner Shedun einschleust. Das passiert aber auch dann, wenn der Anwender ablehnt.
Sicherheitsexperten haben Android-Apps ausfindig gemacht, die auch dann installiert werden, wenn Anwender die Installation ausdrücklich abgelehnt haben. Wie Ars Technica berichtet, sind die Apps dafür nicht einmal von einer Schwachstelle im Betriebssystem abhängig. Sie greifen stattdessen auf den sogenannten Android Accessibility Service zurück. Der ursprüngliche Zweck dieser Funktion es ist, Sehbehinderten den Umgang mit Android zu vereinfachen.
Zunächst müssen Nutzer allerdings einen Trojaner herunterladen und installieren. Der versteckt sich wiederum in Apps, die sich als offizielle Android-Anwendungen tarnen und über Online-Marktplätze von Dritten ausgeliefert werden. Die zur Shedun-Familie zählende Schadsoftware beansprucht für sich die Kontrolle über den besagten Android Accessibility Service in der Barrierefreit-API des Betriebssystems. Zu diesem Zweck zeigt sie Anwendern einen falschen Dialog an, der zum Beispiel verspricht, sie vor unerwünschter Werbung zu schützen.
Wird jene Meldung bestätigt, kann die Shedun-Schadsoftware laut Ars Technica jederzeit Pop-up-Werbung einblenden, die weitere Adware einschleust. Selbst wenn ein Nutzer die Aufforderung zur Installation der schädlichen Software ablehnt oder gar nicht auf die Meldung reagiert, nutzt Shedun den Android Accessibility Service, um die Adware trotzdem zu installieren.
Die neue Shedun-Variante wurde von Mitarbeitern der Firma Lookout entdeckt. “Durch die Berechtigung, den Accessibility Service zu nutzen, ist Shedun in der Lage, Meldungen auf dem Bildschirm zu lesen, zu erkennen, ob ein Installationsdialog angezeigt wird, durch die Berechtigungsliste zu scrollen und schließlich den Installieren-Button ohne physische Interaktion des Nutzers zu drücken” erklärt der Sicherheitsanbieter.
Darüber hinaus ist Shedun eine von mehreren Malware-Familien, die sich nur sehr schwer wieder von einem Android-Gerät entfernen lässt. Sie verschaffe sich Root-Rechte und niste sich in der System-Partition ein, wo sie auch nach dem Zurücksetzen auf die Werkseinstellungen verbleibe, führt Ars Technica weiter aus. Lookout spreche in dem Kontext von einer “trojanisierten Adware”, da das eigentliche Ziel die Installation weiterer Anwendungen zur Anzeige von unerwünschter Werbung sei.
Neu sei zudem, dass Angreifer Social-Engineering-Methoden verwendeten, um die Kontrolle über den Android Accessibility Service zu übernehmen. “Das ist ein weiteres Zeichen der Kreativität und des Einfallsreichtums, die in diese neuartigen Apps gesteckt werden”, schreibt Ars Technica. Lookout erwartet derweil, dass künftig auch andere Malware-Familien auf diese Technik zurückgreifen werden.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de