5. November 2015 - Apps für Android

Ein Wurmloch betrifft 100 Millionen Endgeräte

Über eine Schwachstelle in einer Entwicklungsumgebung für Anwendungen, die unter dem Betriebssystem Android laufen, wurden zahlreiche Apps infiziert, die jetzt angreifbar sind.

'Wormhole'-Schwachstelle im Software Development Kit (SDK) Moplus Die Malware 'Wormhole' im Entwicklungstool 'Moplus' hat in zahlreichen Apps für Android eine Hintertür eingerichtet (Bild: kentoh / istock / Thinkstock)

In einer Entwicklungsumgebung für Apps wurde eine Malware in Umlauf gebracht, die die Sicherheit von Smartphones und Tablets unter Android deutlich gefährden kann. Wie Trend Micro in einem Blog-Beitrag berichtet, summiert sich die Zahl der von der ‚Wormhole‘-Schwachstelle im Software Development Kit (SDK) Moplus betroffenen Android-Endgeräte auf rund 100 Millionen.

Auf diesen Smartphones und Tablets kommt das Betriebssystem Android zum Einsatz, zudem ist eine der kolportierten 14.112 Anwendungen installiert, die mit einer infizierten Version von Moplus SDK erstellt wurde.

Entdeckt wurde der Bug in der Entwicklungsumgebung Moplus SDK von chinesischen Sicherheitsforschern der Plattform WooYun. Laut Trend Micro weisen Apps, die mittels dieses Tools entwickelt wurden, eine Backdoor auf, die es Angreifern bei einer Verbindung mit dem Internet erlaubt, Dateien von einem betroffenen Gerät zu kopieren, Apps zu installieren, Phishing-Websites aufzurufen oder gefälschte SMS-Nachrichten zu versenden.

Die Sicherheitslücke soll nach dem Bericht von Trend Micro aktuell missbraucht werden, mindestens eine Malware sei derzeit „in the wild“ – wird also aktiv genutzt -, die auf diese Schwachstelle abzielt. Man habe, so Trend Micro, den illegitimen Gerätezugriff über diese Sicherheitslücke exemplarisch auf einem Nexus 6 mit Android 6.0 getestet und dokumentiert.

Um die Backdoor aufzustoßen, wird über die App, die mittels einer infizierten Version von Moplus erstellt wurde, auf einem betroffenen Gerät unbemerkt vom Benutzer ein lokaler HTTP-Server erstellt. Dieser erlaube es, über einen TCP-Port Befehle an das Smartphone oder Tablet zu senden und dort ausführen zu lassen. Da der lokale HTTP-Server keine Authentifizierung voraussetzt, könne jedermann derartige Übergriffe ausführen.

Moplus ist nicht für die allgemeine Nutzung freigegeben und stammt vom chinesischen Suchmaschinenanbieter Baidu. Entsprechend seien von der Sicherheitslücke derzeit nur Apps tangiert, die in China erstellt wurden. Allerdings befinden sich unter den betroffenen Applikationen auch englischsprachige, die in Google Play zu finden sind. Mittlerweile habe Baidu den Schadcode aus Moplus SDK eliminiert, ältere Anwendungen sind aber weiterhin angreifbar.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln