"RottenSys" zielt auf Werbebetrug ab – Wurde offenbar irgendwo in der Lieferkette in China eingeschmuggelt

Updates hin oder her: Wer ein Android-Smartphone hat, kann sich mit ein paar recht einfachen Regeln von Schadsoftware fernhalten. Vor allem wenn sich die Nutzer ausschließlich an Apps aus dem Play Store halten, ist die Wahrscheinlichkeit sich Malware einzufangen äußerst gering. Das bringt natürlich alles wenig, wenn die bösartige Software gleich von Haus aus auf dem eigenen Geräte installiert ist.

RottenSys

Die Sicherheitsforscher von Check Point Research warnen vor der Adware "RottenSys": Diese zeigt auf infizierten Geräten zusätzlich Werbung an, um sich auf diesem Weg zu bereichern. Zudem scheinen die Angreifer all die betroffenen Geräte mittlerweile in eine Botnetz eingegliedert zu haben, das über einen zentralen Command-&-Control-Server für Angriffe gegen Webseiten instrumentalisiert werden könnte – auch wenn man diese Möglichkeit bisher offenbar noch nicht ausgenutzt hat.

Vorinstallation

Auffällig ist dabei auch, wie weit RottenSys verbreitet ist: Seit dem ersten Auftauchen im Jahr 2016 soll die Malware auf knapp fünf Millionen Geräten aufgetaucht sein. Dieser Erfolg mag auch am Infektionsweg liegen, die Sicherheitsforscher gehen nämlich davon aus, dass die betroffenen Smartphones irgendwo in der Lieferkette manipuliert wurden. Darauf weist etwa hin, dass fast die Hälfte aller infizierten Geräte ihren Weg über den chinesischen Distributor Tian Pai genommen haben.

Entsprechend sind auch die Geräte unterschiedlicher Hersteller von der vorinstallierten Malware betroffen: Alleine auf Honor entfallen fast 700.000 Geräte, knapp gefolgt von Smartphones von Huawei, Xiaomi und Oppo. Aber selbst nicht-chinesische Hersteller wie Samsung sind zum Teil betroffen – wenn auch in deutlich geringerer Zahl.

grafik: check point research

China

Der Infektionsweg bedeutet natürlich auch, dass sich europäische Nutzer recht wenig Sorgen um RottenSys machen müssen – außer sie haben ihr Smartphone aus China erstanden. Die Adware sollte sich aber ohnehin bald durch Werbebanner bemerkbar machen. Zudem lässt sich Rottensys im App-Manager aufspüren, Check Point Research liefert hier eine Liste der verwendeten Paketnamen.

Dass Android-Malware gerade in China besonders stark verbreitet ist, hängt nicht zuletzt mit den Vorzeichen zusammen, unter denen dort Gerät mit Googles Betriebssystem verkauft werden. Da Google in China keine Geschäfte macht, gibt es hier auch keinen Play Store und damit einhergehende Schutzmaßnahmen wie Google Play Protect. Stattdessen nutzen die Hersteller ein breites Angebot von unterschiedlichen App Stores anderer Anbieter, über die öfters auch Schadsoftware ausgeliefert wird.

Gleichzeitig zeigt der Bericht auch, dass das Geschäft mit solchem Werbebetrug ein äußerst einträgliches ist. Alleine innerhalb der zehn Tage ab dem 3. März 2018 habe RottenSys seinen Betreibern Einnahmen von 115.000 US-Dollar beschert, rechnen die Sicherheitsforscher vor. (apo, 16.3.2018)