Der Name "GingerMaster" kommt nicht von ungefähr: Diese Malware ist die erste ihrer Art, die einen Ende April entdeckten Root Exploit ("GingerBreak") in Googles Mobil-Betriebssystem Android 2.3 ausnutzt, das auf den Codenamen Gingerbread hört. Die GingerMaster-Malware selbst wurde wiederum letzten Monat von einem Forschungsteam der US-amerikanischen NC State University entdeckt und unter dem Eintrag CVE-2011-1823 abgelegt. Ein Beitrag im NakedSecurity-Blog von Sophos illustriert, wie GingerMaster arbeitet.

Die aus China stammende GingerMaster-Malware tarnt sich als eine App, die "Schönheiten des Tages" abbildet. Die Inhalte selbst werden von einer Webseite abgerufen, kommen also nicht zusammen mit der App. Das eigentliche Ziel der Malware ist aber das Stehlen von Informationen wie User-ID, SIM-Kartennummer, Telefonnummer, IMEI, IMSI, Bildschirmauflösung und lokaler Zeit.  Nachdem diese Infos vom Gerät ausgelesen wurden, werden sie mit einem HTTP POST an eine weitere Webseite übertragen. Deren Server übermittelt der Malware wiederum Konfigurationseinstellungen wie Update-Häufigkeit und -URL.

Im Assets-Ordner der AKP-Datei (Android-Anwendungsfileformat) finden sich drei ausführbare ELF-Dateien und ein Shell-Skript, die zur Tarnung unbedarfter User als PNG-Dateien benannt sind. Ihre Namen: gbfm.png, install.png, installsoft.png und runme.png. die Malware erstellt zudem eine Datei namens gbfm.sh, die den eigentlichen GingerBreak-Exploit-Code enthält und in einem separaten Thread gestartet wird.

Ist der Root Exploit erfolgreich, wird die Systempartition im beschreibbaren Zustand neu gemounted. Außerdem werden die oben erwähnten Utilities installiert, die die Entfernung der Malware erschweren und zusätzliche Funktionen bieten sollen. installsoft.png beispielsweise enthält Code, der die Installation von Android-Packages mittels der Kommandozeilenversion des Package-Managers ermöglicht – so wird das Berechtigungssystem von Android elegant umgangen. Und sobald die Schadsoftware dies geschafft hat, sind ihre potenziellen Möglichkeiten sprichwörtlich unbegrenzt.

Sophos gibt Anwendern schließlich noch drei Tipps mit auf den Weg:

  • User sollten alternative Android-Apps-Quellen nur dann nutzen, wenn sie harte Beweise haben, dass sie sicher sind.
  • Anwendern sollten Apps vermeiden, die mehr Berechtigungen erfragen, als sie eigentlich brauchen.
  • Und schließlich sollten Android-Nutzer die Hersteller ihrer Geräte auffordern, schnellstmöglich ein Betriebssystem-Update für das Gerät auf den Weg zu bringen, dass den Root Exploit unterbindet.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.