Kritische Sicherheitslücke: Wurm bindet Android-Geräte in Cryptomining-Botnetz ein

27. Juni 2018
Rudolf Ring Von Rudolf Ring, Hardware, News & Trends ...

Tausende von Smartphones weltweit sind vom Android-Wurm ADB-Miner betroffen, die Zahl steigt rasant an. Schuld daran ist eine Sicherheitslücke in der Debug-Schnittstelle des Geräts. Die Sicherheitsexperten von G DATA zeigen, wie Sie prüfen, ob Ihr Mobilgerät betroffen ist und wie Sie die Sicherheitslücke schließen.

Ein unbekannter Dritter greift via Internet auf das eigene Smartphone zu – und das mit vollen Root-Rechten als Administrator. Was sich wie ein komplizierter und denkbar unmöglicher Fall liest, wird durch eine Android-Sicherheitslücke zum einfachen Spiel für Cyberangreifer. Dieser kann sich dank des geöffneten TCP-Port 5555 per Androids Debug Bridge-Schnittstelle (kurz: ADB) auf das Gerät einklinken. Über ADB lassen sich eine Vielzahl von Geräte-Aktionen durchführen – angefangen vom simplen Auslesen der Geräteinformationen über den Diebstahl sensibler Daten bis hin zu sicherheitskritischen Installationen von schädlichen Programmen.

ADB wird eigentlich von Software-Entwicklern dafür benutzt, direkten Zugriff auf das Gerät zu erhalten, um Diagnosen oder Nachinstallationen vorzunehmen. Per Voreinstellung ist diese Schnittstelle normalerweise deaktiviert. Dennoch gibt es einige Hersteller, beispielsweise wie in diesem Fall aus dem asiatischen Raum, die es scheinbar versäumt haben, die aktivierte ADB-Schnittstelle vor Verkauf der Geräte an Konsumenten abzustellen. 

Android-Wurm ADB.Miner nutzt Schwachstelle aus

Der erste Android-Wurm, der auf den Namen ADB.Miner hört, nutzt die offene ADB-Schnittstelle aus. Möchte er sich mit dem Smartphone verbinden, so erscheint eine USB-Debugging-Abfrage. Wird hierbei auf OK geklickt, so ist das Mobilgerät im Anschluss infiziert. Der Wurm durchforstet das Internet nach den offenen 5555 TCP-Ports und schafft so ein Cryptomining-Botnetz. Das Gerät wird folglich kompromittiert und zum Schürfen der virtuellen Währung „XMR Coins“ missbraucht.

Ist das Gerät befallen, so sucht es selbstständig nach weiteren offenen 5555 TCP-Ports, sodass sich der Wurm weiterverbreiten kann. Das bedeutet im Umkehrschluss: Je mehr Android-Smartphones betroffen sind, desto schneller kann sich der Wurm verbreiten. Für den Benutzer bedeutet das eine sehr starke performancetechnische Einschränkung sowie extrem verkürzte Akku-Laufzeiten. Da Smartphones für eine solch dauerhafte Beanspruchung nicht ausgelegt sind, kann dies mittelfristig sogar zu Schäden am Gerät führen. 

Sicherheitslücke aufspüren und schließen

Bei den meisten Android-Geräten lässt sich die Sicherheitslücke sehr einfach schließen. Besitzer eines solchen Smartphones sollten in den Einstellungen nach den Entwickleroptionen Ausschau halten und sie deaktivieren. Als Benutzer solle man generell den kurzen Blick in die Einstellungen wagen, um sicher sein zu können, dass nicht doch die Entwickleroption eingeschaltet ist. Für all jene Anwender, die sich unsicher sind, ob der Wurm auf dem Mobiltelefon vorhanden ist, empfiehlt G DATA folgende Schritte durchzuführen: 

  1. Laden sie ADB für Windows herunter 
  2. Extrahieren Sie den Inhalt der ZIP-Datei an einen leicht zu merkenden Ort – beispielsweise Ihren Desktop 
  3. Im Falle von Windows 10 nutzen Sie die Tastenkombination Shift + rechter Mausklick und wählen Sie „PowerShell-Fenster hier öffnen“ aus. Achten Sie dabei, dass Sie die Tastenkombination in dem zuvor extrahierten Ordner benutzen. 
  4. Es öffnet sich das Entwicklerfenster. 
  5. Verbinden Sie das Android-Smartphone via USB mit dem Computer. 
  6. Im Falle einer offenen ADB-Schnittstelle, öffnet sich nun ein Fenster auf dem Smartphone. Bestätigen Sie hier mit OK. Sollte sich kein Fenster dieser Art öffnen, so ist die Entwickleroption bei dem Gerät ausgestellt.
  7. Im Entwicklerfenster geben Sie folgenden Befehl ein:
    .\adb shell pm list packages com.android.good.miner
  8. Sollte das Gerät nicht infiziert sein, so gibt es keine Rückmeldung in der Entwicklerkonsole. Ansonsten erscheint folgende Meldung: package: com.android.good.miner

Den Wurm ADB.Miner in wenigen Schritten entfernen

Wenn der Benutzer eine Rückmeldung erhalten hat, so ist das Gerät kompromittiert. G DATA erklärt in wenigen Schritten, wie der ADB.Miner vollständig entfernt werden kann: 

  1. Bleiben Sie in der Entwicklerkonsole und geben Sie folgenden Befehl ein:
    .\adb shell pm list packages uninstall com.android.good.miner
  2. Im letzten Schritt gilt es die temporären Dateien zu löschen. Der Vorgang ist besonders wichtig, da ansonsten der Wurm immer wieder automatisch installiert wird. Dies wird mit folgenden vier Befehlen umgesetzt: .\adb shell cd /data/local/tmp/ rm * exit

Im Anschluss sollten Sie die Entwickleroptionen deaktivieren. Für generellen Schutz empfiehlt es sich, eine Sicherheitslösung wie beispielsweise Mobile Internet Security für Android auf dem Mobilgerät zu installieren. 

LibreOffice: Gratis Installationsanleitung + Startpaket

Jetzt gratis per E-Mail

LibreOffice: Die kostenlose Alternative zu teurer Software mit allen wichtigen Office-Programmen wie Word, Excel & Co.

Sichern Sie sich jetzt kostenlos das LibreOffice Startpaket + die kostenlosen "Open-Source-Secrets" per E-Mail!

Weitere Artikel zum Thema

OpenOffice: Gratis Installationsanleitung

Jetzt gratis per E-Mail

  • + "Open-Source-Secrets" per e-Mail

DDV Qualitätsstandard E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.
Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"