Hintertür in mehr als 14.000 Android-Apps ermöglicht Datendiebstahl und unbemerkten SMS-Versand

Wormhole-Schwachstelle: Backdoor in über 14.000 Android-Apps

Über das Moplus SDK haben Angreifer in einer großen Anzahl von Apps eine Schwachstelle entdeckt die es ihnen ermöglicht, heimlich Dateien von Android-Geräten zu stehlen und SMS-Nachrichten zu versenden.


Das SDK soll eine Backdoor aufweisen und in weiterhin als 14․000 Apps zum Einsatz kommen. Angreifer können Geräte so fernsteuern. Sicherheitsforscher der chinesischen Plattform wooyun.og haben die Schwachstelle entdeckt.

Trend Micro zufolge können Apps die auf das Moplus SDK setzen, auf Befehl Dateien von Android-Geräten abziehen, heimlich beliebige Apps auf gerooteten Geräten installieren, Phishing-Webseiten aufrufen, SMS-Nachrichten versenden und willkürlich Kontakte erstellen. Dafür muss das Gerät lediglich mit dem Internet verbunden sein.

Trend Micro hat über die Wormhole-Schwachstelle einen Kontakt aus der Ferne auf einem Nexus 6 mit Android 6 angelegt.

Einem Auszug aus einer Liste von Trend Micro zufolge sind nur chinesische Apps betroffen. Davon sind einige ebenfalls in Google Play zu finden. Ob das SDK bei Apps aus dem deutschen Raum zum Einsatz kommt ist nicht bekannt.

Lauschender Server in der Hosentasche

Um die Hintertür für Angreifer zu öffnen, startet die mit dem SDK erstellte App einen lokalen HTTP-Server auf dem Android-Gerät, erläutern die Sicherheitsforscher von Trend Micro. Über einen TCP-Port sollen Angreifer in der Lage sein, Befehle an das Gerät zu senden. Dabei modifiziere der Open-Source-HTTP-Server NanoHttpd HTTP-Anfragen, zu diesem Zweck das Gerät die Aufgaben der Angreifer ausführt.

Da der lokale HTTP-Server keine Authentifizierung voraussetzt, könne jedermann derartige Übergriffe ausführen. Angreifer müssen dazu lediglich ihre Umgebung nach Android-Geräten mit offenem TCP-Port scannen, erklären die Kryptologen. Trend Micro hat über die Wormhole-Schwachstelle eigenen Angaben zufolge erfolgreich ein Nexus 6 mit Android 6․0 attackiert.

Baidu reagiert

Mittlerweile hat Baidu Schadcode aus dem Moplus SDK entfernt berichten die Sicherheitsforscher. So soll unter anderem der Code zum heimlichen Installieren von Apps entfernt worden sein. Der lokale HTTP-Server mit offenem TCP-Port soll aber weiterhin laufen.

Zuletzt aktualisiert am Uhr




Kommentare


Ähnliche News

Angriffe auf mobile Geräte nehmen gefährlich zu

 Phishing-Angriffe auf mobile Geräte nehmen erschreckende Ausmaße an

Mit dem stetigen Anstieg der Nutzung von Smartphones und Tablets nehmen ebenfalls die Gefahren durch Phishing-Angriffe auf diese Geräte zu. Dies zeigt eine aktuelle Studie des Sicherheitsanbieters Zimperium.


Wormhole: Sicheres P2P-Filesharing mit dem Browser

 Wormhole will sicheres P2P-Filesharing mit dem Browser kombinieren

Eine neue Web-Applikation namens Wormhole bietet eine einfache Möglichkeit für den privaten Dateiaustausch zwischen wenigen Personen. Im Gegensatz zu anderen Filesharing-Diensten ist Wormhole nicht geeignet um Archive öffentlich zugänglich zu machen.




Cisco beseitigt unautorisierten Zugang in IOS-XE-System

Cisco hat zahlreiche Sicherheitsupdates für seine Betriebssysteme IOS und IOS XE veröffentlicht um kritische Sicherheitslücken zu schließen. Dabei wurde ebenfalls ein unautorisierter Zugang der als Backdoor-Account bekannt war, aus dem IOS-XE-System entfernt. Drei Lücken gelten als kritisch.


Anzeige