RottenSys: Some smartphones are coming with malware already installed

RottenSys: Bei manchen Smartphones ist die Malware bereits vorinstalliert

Diese Funktion war vermutlich keins eurer Auswahlkriterien beim Smartphonekauf. Experten haben bei einer Vielzahl der auf dem Markt erhältlichen Smartphones die vorinstallierte Malware RottenSys entdeckt, die ganz ohne Zutun des neuen Besitzers aktiv wird.

Es wird davon ausgegangen, dass sich RottenSys auf fast 5 Millionen Smartphones befindet. Betroffen sind Geräte der Marken GIONEE, Honor, Huawei, OPPO, Samsung, Vivo und Xiaomi. Offenbar wurden alle infizierten Smartphones über den chinesischen Händler Tian Pai aus Hangzhou in Umlauf gebracht. Die genauen Hintergründe sind jedoch unklar.

Die Malware ist zwar unter dem Namen RottenSys bekannt geworden, betroffene Nutzer sehen auf ihrem Smartphone jedoch nur eine vorinstallierte App, die sich als harmloser WLAN-Systemdienst ausgibt.

RottenSys kommt auf leisen Sohlen

RottenSys greift nicht sofort an, um keinen Verdacht zu erregen. Stattdessen kommuniziert das Programm zunächst mit seinen Command-and-Control-Servern, um entsprechende Berechtigungen und anschließend einen Code zu erhalten, mit dem es seine schädlichen Aktivitäten ausführen kann.

Mit diesem Code kann das Programm eine Adware-Kampagne starten und das Smartphone des Nutzers mit Unmengen an Werbeanzeigen als Vollbild oder Pop-up fluten. So generieren Cyberkriminelle einen wahren Umsatzstrom.

Und dann, dann geht es so richtig los

Und das ist nur der Anfang. Die Die Sicherheitsexperten von Check Point glauben, dass die Malware dann zu allem mutieren kann, was die Command-and-Control-Server befehlen. Man geht davon aus, dass die Malware Teil eines größeren Botnetzes wird, das andere Anwendungen in Umlauf bringen und die Benutzeroberfläche des Opfers verändern könnte.

RottenSys arbeitet gemäß dem neuesten Malware-Trend: Anders als Ransomware stiehlt es das Geld nicht direkt aus eurer Tasche, sondern zwingt euch nervige Werbeanzeigen auf und stellt dies den Werbetreibenden in Rechnung. Niemand weiß, ob diese Werbeanzeigen wirklich Mehrwert schaffen.

In puncto Herstellung ähnelt die Software eurem Auto – fahrt vorsichtig

Im Wesentlichen ist RottenSys eine Sicherheitslücke in der Lieferkette der Softwareindustrie. Es ist wie bei Autos: Verschiedene Firmen liefern Komponenten wie Schaumstoffpolsterungen, Bezüge und Stahlrahmen, eine andere Firma baut diese Komponenten zu einem Sitz zusammen und liefert diesen Sitz an das Endmontagewerk, wo er rund 45 Minuten später im Fahrzeug verbaut wird. Die Lieferketten von Autoherstellern werden sehr streng überwacht – und RottenSys zeigt uns, dass die IT-Industrie sich daran ein Beispiel nehmen sollte.

Was ihr tun könnt, um euch zu schützen

Es gibt jedoch einen Lichtblick. Damit es RottenSys auf euer Smartphone schafft, müssen bestimmte Voraussetzungen erfüllt sein. Dies scheint besonders bei Importen aus China der Fall zu sein. Stammt euer Smartphone also nicht aus China, seid ihr wahrscheinlich nicht betroffen. Um ganz sicher zu sein, könnt ihr Folgendes tun:

Öffnet die Systemeinstellungen eures Android-Geräts und ruft den App Manager auf. Haltet dort Ausschau nach den folgenden Malware-Paketen:

  • com.android.yellowcalendarz (每日黄历)
  • com.changmi.launcher (畅米桌面)
  • com.android.services.securewifi (系统WIFI服务)
  • com.system.service.zdsgt

Sollte einer dieser Namen in der Liste der auf eurem Smartphone installierten Apps auftauchen, genügt es, die entsprechende App zu deinstallieren.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.