Skullkey: Cyberkriminelle nutzen Android-Schwachstelle

26. Juli 2013, 09:44
1 Posting

Masterkey-Lücke erlaubt Aushebelung des Signaturmechanismus - infizierte Apps in chinesischen Stores

Anfang des Monats war eine Schwachstelle in Androids Signaturprüfungs-Mechanismus gefunden worden. Signaturen sollen üblicherweise sicherstellen, dass ein APK-Programmpaket aus einer vertrauenswürdigen Quelle stammt und harmlos ist. Laut dem Sicherheitsstartup Bluebox besteht hier aber schon seit Android 1.6 eine Schwachstelle, die es erlaubt, beliebigen Code unentdeckt in eine APK zu packen, ohne dabei die Signatur zu beeinträchtigen.

Bezahl-SMS und Virenscanner-Abschaltung

Google kennt den Fehler seit Februar 2013 und hat eine Behebung bereits angekündigt. Derweil wird laut Heise die Lücke aber bereits von chinesischen Cyberkriminellen genutzt. Sie hängen an scheinbar harmlose Apps einen Trojaner mit dem Namen "Skullkey" an, der zusätzlichen Code mitbringt und erweiterte Rechte anfordert. Diese nutzt er, soweit bislang bekannt, um Bezahl-SMS zu verschicken.

Weiters kann Skullkey bereits verschiedene Virenscanner von chinesischen Unternehmen deaktivieren, sofern der Schädling an Root-Rechte kommt. Verbreitet werden die Apps mit angehängtem Trojaner über alternative App-Stores, wie sie von chinesischen Nutzern oft verwendet werden, da der Zugang zu Google Play oft nicht möglich ist.

Play Store ist sicher

Doch auch bei Play soll es laut Bluebox mehrere Apps geben, die die Schwachstelle ausnutzen. Da diese aber keine gefährliche "Zuladung" mitbringen, gehen die Forscher von einem Versehen aus. Etwaiger Schadcode dürfte es aber ohnehin nicht in Googles Angebot schaffen, da neue Installationpakete vor der Bereitstellung über das "Bouncer"-System auf mögliche Gefahren gescannt werden.

Rein theoretisch wären so gut wie alle Geräte anfällig für den Fehler. Lediglich für einzelne Modelle, etwa das Galaxy S4, wurde er bereits von Seiten des Herstellers bereinigt. Bei der alternativen Android-Firmware Cyanogenmod ist der Bug seit 7. Juli für Versionen ab 10.1 als behoben markiert. (red, derStandard.at, 26.07.2013)

  • Skullkey verschickt teure Premium-Nachrichten und kann Virenscanner deaktivieren.

    Skullkey verschickt teure Premium-Nachrichten und kann Virenscanner deaktivieren.

Share if you care.