Nach Berichten über mit Guerilla-Malware infizierte Telefone hatte Trend Micro das ROM-Image eines Smartphones für die forensische Analyse extrahiert. Dabei fanden sie eine Systembibliothek namens libandroid_runtime.so, die manipuliert wurde, um einen Codeschnipsel in eine Funktion namens println_native zu injizieren. Diese Funktion wird aufgerufen, wenn das Druckprotokoll erstellt wird. Danach entschlüsselt der eingeschleuste Code eine DEX-Datei aus dem Datenbereich und lädt sie in den Speicher. Diese DEX-Datei (SHA256: f43bb33f847486bb0989aa9d4ce427a10f24bf7dcacd68036eef11c82f77d61d) hat die Domain der Lemon Group (js***[.]big******[.]com) sowie das Haupt-Plugin namens "Sloth". In der DEX-Datei ist eine Konfiguration mit dem Kanalnamen "BSL001" enthalten, der möglicherweise für diese Domäne steht.
Im Rahmen Ihrer Recherche entdeckte Trend Micro mehr als 50 betroffene Android-ROM für verschiedenste Geräte.
Die Guerilla Malware öffnet dabei eine Backdoor, über die eine Kommunikation mit einem Command-and-Control-Server hergestellt wird. Dabei wird dann weitere Software nachinstalliert und das Android Gerät übernommen. Dies reicht nach aktuellen Erkenntnissen von der Übernahme von Whats-App Sitzungen über die Einblendung unerwünschter Werbung bis hin zur völligen Übernahme der Gerätes für eigene Zwecke.
Quelle und weitergehende Informationen: Trend Micro >>hier<<
Sollten Sie Fragen, Wünsche, Anregungen zu unseren Presse-Informationen haben oder möchten Sie in unseren Presseverteiler aufgenommen werden, wenden Sie sich bitte direkt an
Martina Kunze
Marketing & PR
Netzwerk-Analyse
in anspruchsvollen IT-Umgebungen
Fallstudie - Molkerei Müller:
Hochverfügbarkeit für das gesamte
Unternehmensnetzwerk
Fallstudie - Glöckle direct:
Migration von Suse auf RHEL und JBoss