Millionen Android-Smartphones mit Rootkit ab Werk

In zahlreichen Android-Smartphone chinesischer Hersteller steckt eine Backdoor, durch die der Hersteller – oder ein Angreifer – beliebige Befehle mit Root-Rechten ausführen kann. Für das Security-Debakel ist offenbar ein Update-Prozess verantwortlich, der gewährleisten soll, dass die Geräte-Software auf dem aktuellen Stand ist. Sie stammt von Ragentek und kommt nicht nur auf Android-Geräten dieses Herstellers zum Einsatz sondern auch bei BLU, Infinix Mobility, Beeline, Doogee, IKO Mobile, Leagoo und XOLO.

2,8 Millionen Geräte kontaktieren falschen Update-Server

Bei der Umsetzung des Over-the-Air-Updaters (OTA) hat Ragentek laut einer Analyse der Sicherheitsfirma AnubisNetworks gleich auf mehreren Ebenen gepatzt. Es beginnt damit, dass der Prozess unverschlüsselt mit dem Update-Server kommuniziert und deshalb unter anderem die IMEI und die Telefonnummern des Nutzers unverschlüsselt durchs Netz schickt. Der Updater versucht Server über drei Domains zu kontaktieren – allerdings war nur eine der Domains zu Beginn der Analyse tatsächlich registriert. AnubisNetworks registrierte kurzerhand die beiden anderen und es kam, wie es kommen musste: Es meldeten sich über 2,8 Millionen Android-Geräte bei den Servern der Sicherheitsfirma. Die Forscher von AnubisNetworks zählten ungefähr 55 verschiedene Modelle.

Code-Ausführung als Root

So weit, so schlecht. Doch es kommt noch schlimmer: Bei der Analyse des Verbindungsprotokolls stießen die Forscher auf einen Befehl, mit dem der Server das Android-Geräte anweisen kann, beliebige Befehle auszuführen. Da der OTA-Prozess mit Root-Rechten läuft, werden auch die Befehle in diesem Kontext ausgeführt. Da die Verbindung des Updaters nicht abgesichert ist, kann sich ein Angreifer in der Position des Man-in-the-Middle als Update-Server ausgeben und den betroffenen Geräten beliebige Befehle erteilen. Die Forscher hätten es sogar noch einfacher gehabt, da die Geräte von sich aus mit den nachträglich registrierten Domains Kontakt aufgenommen haben. Hätten es die Forscher darauf angelegt, hätten sie die 2,8 Millionen Geräte, die sich gemeldet haben, wahrscheinlich mühelos unter ihre Kontrolle bringen können.

Rootkit-Verhalten

Ein interessanter Nebenaspekt ist, dass die betroffenen Geräte zumindest teilweise mit einer modifizierten Version des Unix-Tools top ausgestattet sind. top zeigt die Liste der derzeit laufenden Prozesse an. Die modifizierte Version macht das auch, verschweigt dabei allerdings, dass die Komponenten /system/bin/debugsrun und /system/bin/debugs ausgeführt werden. Sie gehören zu dem unsicheren OTA-Updater. Die Forscher stießen zudem auf eine entsprechend manipulierte Version von ps. Solche Tricks kennt man sonst hauptsächlich von Rootkits.

Laut einem Advisory des US-CERT sollen mindestens die folgenden Geräte betroffen sein:

• BLU Studio G
• BLU Studio G Plus
• BLU Studio 6.0 HD
• BLU Studio X
• BLU Studio X Plus
• BLU Studio C HD
• Infinix Hot X507
• Infinix Hot 2 X510
• Infinix Zero X506
• Infinix Zero 2 X509
• DOOGEE Voyager 2 DG310
• LEAGOO Lead 5
• LEAGOO Lead 6
• LEAGOO Lead 3i
• LEAGOO Lead 2S
• LEAGOO Alfa 6
• IKU Colorful K45i
• Beeline Pro 2
• XOLO Cube 5.0

Erst Ende vergangener Woche hatten Forscher der Sicherheitsfirma Kryptowire eine Spionage-Software von Adups Technology auf Geräten chinesischer Hersteller entdeckt; darunter ZTE und auch BLU. Das gefundene Programm soll ebenfalls Befehle aus dem Netz ausführen und zudem gezielt SMS-Nachrichten abfangen können. (rei)