Auf der diesjährige Hackerkonferenz Defcon 18 haben die IT-Sicherheitsforscher Nicholas Percoco und Christian Papathanasiou demonstriert wie Geräte, die mit dem mobilen OS Android laufen, angegriffen werden können.
Bei der von ihnen entwickelten Malware handelt es sich um ein Loadable Kernel Module, die sich von anderen Prozessen verbergen lässt. Da Android mehr oder weniger basiert auf Linux, ist die Funktionsweise dieser Software analogisch der den schon längst bekannten Rootkits. Seine Tasks tauchen nicht im virtuellen Dateisystem auf, sie werden sogar beim Aufruf mit den Befehle ps und insmod nicht angezeigt. Der Trick, den die Malware benutzt ist die Verwendung von Hooks, um sich mit den Funktionen des Gerätes zu verbinden.
Die Schadsoftware kann zum Beispiel durch eine nicht gepatchte Lücke oder in der Form einer beim ersten Blick normalen App auf das mobile Gerät gelangen. Nachdem das Rootkit schon installiert ist wird es durch einen Anruf des betroffenen Handys von einer zuvor festgelegten Nummer aktiviert. Im Endeffekt wird eine Verbindung zwischen den Smartphone und einen Angriffcomputer aufgebaut.
Damit lässt sich das mobile Gerät ohne Wiedersprüche aus der Ferne steuern: die Verbindung bietet Zugriff auf die auf das Handy gespeicherte E-Mails, SMS oder Kontakte. Bei der Demonstration konnten sogar die aktuellen GPS-Koordinaten ermittelt werden. Was den Anruf angeht – sie lassen sich unbemerkbar einleiten, wobei auf dem Screen nichts zu sehen ist.
Die bösartige Software lässt sich sehr schwer vom Benutzer entdecken – eventuell kann die etwas gesunkene Leistung darauf hinweisen. Zurzeit kann man sich auch nicht gegen solche Angriffe wehren. Was möglicherweise einzig getan werden kann, ist die Treiber zu signieren um ein möglichen Angriff zu verhindern. (Milena Stoimenova | Quellen: handelsblatt.com; heise.de
