Android-Trojaner “DroidDream”: Lücke schließen, Malware entfernen

[0ZeR0 22]

Am 1. März wurde eine massive Sicherheitslücke in Android bekannt, die verschiedene Apps ausnutzen, um einen Trojaner im System zu installieren. Dieser sendet private Daten an einen Server im Netz und installiert eine Backdoor, durch die Code aus dem Netz nachgeladen werden kann. Nach neuesten Erkenntnissen sind mehr als 50 Apps betroffen, die zeitweise im Market heruntergeladen werden konnten. Hier zeig ich euch, wie man sich vor einer DroidDream-Infektion schützt und im Falle eines Falles den Trojaner beseitigt.

Schutz vor DroidDream-Malware per Android App “DroidDreamKiller”

DroidDreamKiller löst zwei Aufgaben: Zum einen überprüft die App, ob das System bereits mit DroidDream infiziert ist, zum anderen blockiert es eine mögliche zukünftige Infektion.

App installieren, starten, “Create Stop File” wählen und gut ist’s. Die App kann danach problemlos wieder entfernt werden.

Für DroidDreamkiller sind Root-Rechte notwendig.

Download DroidDreamKiller aus dem Market

Schutz vor DroidDream-Malware per update.zip

Wer kein Root hat, aber ins Recovery-Menü seines Android-Gerätes kommt, kann den Fix auch per update.zip-Datei einspielen. Es gibt zwei Varianten dieser ZIP-Datei, in der Regel sollte man die mit Edify-Support wählen. Nur wenn die Edify-Version nicht funktioniert, stattdessen die “normale” Variante wählen. Folgende Schritte muss man unternehmen, um die ZIP zu installieren:

1. Heruntergeladene Datei in update.zip umbenennen

2. Datei in das Stamnmverzeichnis des internen Speichers auf dem Gerät kopieren

3. Handy in den Recovery-Modus booten (je nach Android-Gerät unterschiedlich, Google nach “Gerätetyp Recovery”)

4. Den Punkt “install zip from sdcard” oder ähnlich auswählen (meist mit den Lautstärketasten und Power oder der Kamerataste)

5. Installieren, neu starten und fertig.

Downloads :

-update.zip für Recovery mit edify-Support

-update.zip für Recovery ohne edify-Support

Alle Fixes haben gemein, dass sie eine leere Datei mit namen profile in dem Verzeichnis /system/bin/ erstellen, welche die Zugriffsrechte chmod 644 erhält. Diese Dummy-Datei verhindert, dass sich der Trojaner in seiner jetzigen Ausformung im Android-System einnisten kann. Das ist wohlweislich kein Schutz für spätere Mutationen, aber so ist man zumindest kurzfristig auf der sicheren Seite.

DroidDream-Schutz per ADB

Wer das Android SDK auf seinem Rechner installiert hat, kann die Dummy-Datei auch per ADB shell einspielen. Hier die Befehle:

adb remount

adb shell touch /system/bin/profile

adb shell chmod 644 /system/bin/profile

Was, wenn mein Gerät bereits mit DroidDream infiziert ist?

Der Anbieter Lookout bietet eine Rundum-Sicherheitslösung für Android-Geräte an, die offenbar in der Lage ist, die gefährlichen Apps zu löschen. Man kann Lookout Security 30 Tage kostenlos testen, das sollte zur Trojaner-Beseitigung eigentlich reichen.

Download: Lookout Mobile Security Market

Wer wirklich sicher gehen will, dass sein Handy nach einer Infektion Trojaner-frei ist, muss ansonsten das System zurücksetzen und ein Firmware-ROM komplett neu einspielen. In jedem Fall sollte man zur Sicherheit die Passwörter aller Anwendungen und Webddienste ändern, die auf dem Android-Gerät eingesetzt wurden, insbesondere das des Google-Kontos. Achtung: Nicht über das Handy, sondern über den PC!

Betroffene Apps :

Infizierte Apps vom Entwickler “Myournet”:

Falling Down

Super Guitar Solo

Super History Eraser

Photo Editor

Super Ringtone Maker

Super Sex Positions

Hot Sexy Videos

Chess

下坠滚球_Falldown

Hilton Sex Sound

Screaming Sexy Japanese Girls

Falling Ball Dodge

Scientific Calculator

Dice Roller

躲避弹球

Advanced Currency Converter

App Uninstaller

几何战机_PewPew

Funny Paint

Spider Man

蜘蛛侠

Infizierte Apps vom Entwickler “Kingmall2010″:

Bowling Time

Advanced Barcode Scanner

Supre Bluetooth Transfer

Task Killer Pro

Music Box

Sexy Girls: Japanese

Sexy Legs

Advanced File Manager

Magic Strobe Light

致命绝色美腿

墨水坦克Panzer Panic

裸奔先生Mr. Runner

软件强力卸载

Advanced App to SD

Super Stopwatch & Timer

Advanced Compass Leveler

Best password safe

掷骰子

多彩绘画

Infizierte Apps vom Entwickler “we20090202″:

Finger Race

Piano

Bubble Shoot

Advanced Sound Manager

Magic Hypnotic Spiral

Funny Face

Color Blindness Test

Tie a Tie

Quick Notes

Basketball Shot Now

Quick Delete Contacts

Omok Five in a Row

Super Sexy Ringtones

大家来找茬

桌上曲棍球

投篮高手

Quelle Androidnews

DroidDreamMalwarePatch_pre-edify.zip

DroidDreamMalwarePatch_edify.zip

bearbeitet March 5, 2011 von 0ZeR0

[David.L 0]

Hallo,

Danke für die Info. Aber, wäre es nicht sinnig gewesen die 50 Apps beim Namen zu nennen?

Liebe Grüße

David

[0ZeR0 22]

Hallo,

Danke für die Info. Aber, wäre es nicht sinnig gewesen die 50 Apps beim Namen zu nennen?

Liebe Grüße

David

Die liste war nicht ganz,korrekt hab sie jetzt aber eingefügt.

Gruss

Baris

[garfiweb 7]

@ 0ZeR0

Einfach mal ein DANKE für das was du hier machst!!!!!!

Vielen Dank und kleine bitte WEITER SO ;) :icon_mrgr

[David.L 0]

Hallo 0ZeRO,

vielen Dank für die Liste.

Einfach mal ein DANKE für das was du hier machst!!!!!!

Da stimme ich meinem Vorredner zustimmen!! Macht bitte weiter so:respekt:

Sind das alles Apps aus dem Market?

Ich habe hier im Forum mal gelesen, dass diese Programme im Market, angeblich von Google geprüft werden bevor diese freigegeben werden.

Es ist doch immer wieder schade, dass mache Menschen auf dumme Gedanken kommen, da könnte ich wirklich an die Decke gehen:banging:. Und so mit, einem die ganze Freude und Spaß am Market nehmen.

Da ich kein Root, oder wie auch immer, habe, nutze und mache?!

Werde ich wohl Pech habe.

Liebe Grüße

David

[0ZeR0 22]

@ 0ZeR0

Einfach mal ein DANKE für das was du hier machst!!!!!!

Vielen Dank und kleine bitte WEITER SO ;) :icon_mrgr

Kein Problem

Hallo 0ZeRO,

vielen Dank für die Liste.

Da stimme ich meinem Vorredner zustimmen!! Macht bitte weiter so:respekt:

Sind das alles Apps aus dem Market?

Ich habe hier im Forum mal gelesen, dass diese Programme im Market, angeblich von Google geprüft werden bevor diese freigegeben werden.

Es ist doch immer wieder schade, dass mache Menschen auf dumme Gedanken kommen, da könnte ich wirklich an die Decke gehen:banging:. Und so mit, einem die ganze Freude und Spaß am Market nehmen.

Da ich kein Root, oder wie auch immer, habe, nutze und mache?!

Werde ich wohl Pech habe.

Liebe Grüße

David

Du könntest es doch per update.zip machen wenn du kein Root hast, wenn du möchtest kann ich dir später per ICQ oder Msn dabei helfen. Wenn du dir sicher bist das du keine dieser Apps installiert hast brauchst du auch nix mahen

Gruss

Baris

[mistaagress 9]

cool danke.. dann war ich ja auch mal kurzzeitig infiziert... jezt hat er nix gefunden schwitz....

[0ZeR0 22]

cool danke.. dann war ich ja auch mal kurzzeitig infiziert... jezt hat er nix gefunden schwitz....

Was meinst du mit war ? Hast/hattest du einer dieser Apps?

[mistaagress 9]

ich hatte eines der apps drauf auf dem alten rom...

[0ZeR0 22]

ich hatte eines der apps drauf auf dem alten rom...

alten Rom hört sich gut an, ansonsten hättest du nähmlich ein Problem

Gruss

Baris

[mistaagress 9]

nene hatte ja die tage nochma nen neues aufgespielt undhab jezt ma das droid dingg drauf gemacht als vorsorge

[seppl23 1]

Ich habe mir Kaspersky für mein Desire zugelegt. Findet das Programm die Malware auch?

Will meins auf keinen Fall rooten.

Gruß

Seppl

[passtschon 0]

Ich habe mir Kaspersky für mein Desire zugelegt. Findet das Programm die Malware auch?

Will meins auf keinen Fall rooten.

Gruß

Seppl

Moin,

ist im aktuellen Fall jetzt eigentlich egal,weil Google gerade dabei ist, die infizierten Apps via Fernwartung automatisch vom Telefon zu löschen

[seppl23 1]

Ach so,

und da bleibt nix über? Diese Fernwartung incl. Löschung der Apps durch Google ist irgendwie unheimlich.

Das Desire führt eh nen Eigenleben. Heute morgen beim Hochfahren, hat sich der Flugmodus von selbst aktiviert.

[passtschon 0]

Da sollte nichts mehr übrig bleiben, dafür sorgt das Android Market Security Tool.

Ich würde mir aber von Google mal wünschen, dass wenigstens alle Apps vor Veröffentlichungen oder nach Updates kurz gescannt werden, das kann ja auch automatisch erfolgen und sollte für ein Unternehmen wie Google machbar sein, finde ich

Aber Google hat das ja angekündigt - warum erst jetzt, weiß wohl niemand...:

"Google hat jedoch angekündigt, Maßnahmen im Android Market durchzuführen, um künftig das Einschleusen von infizierten Apps mit ähnlichen Exploits zu verhindern. " (Heise)

Die Schwachstelle ist übrigens in Android 2.2.2 geschlossen, also wird das wohl noch dauern, weil die meisten Hersteller (inkl. HTC) ja gleich auf 2.3.3 updaten in nächster Zeit.

Da lob ich mir mein Custom Rom mit 2.3.3

[hajue1968 0]

Hallo, ich habe mir das Programm Droid Dream Cleaner aus dem Market runtergeladen. Sagt mir mein Handy ist nicht infiziert. Habe kein Root und deshalb habe ich es damit versucht. Ich hoffe das ist ausreichend.

[0ZeR0 22]

Hallo, ich habe mir das Programm Droid Dream Cleaner aus dem Market runtergeladen. Sagt mir mein Handy ist nicht infiziert. Habe kein Root und deshalb habe ich es damit versucht. Ich hoffe das ist ausreichend.

Wenn dir gesagt wird, dass dein Handy nicht infiziert ist, dann kannst du eigentlich davon ausgehen das es stimmt

Gruss

Baris

[passtschon 0]

Außerdem haben alle Betroffenen eine E-Mail erhalten. Hast du keine bekommen, sollte sowieso nix passiert sein

[hajue1968 0]

Nee, keine Mail bekommen, schönen Dank für die Antworten. Kann ich beruhigt sein

[seppl23 1]

Bleibt nur zu hoffen das Google nen bisschen sorgfältiger kontrolliert, was sich an Apps im Market befindet.

Wenn man mal nen bisschen blättert kann man sehen, dass auch ne Menge Schrott vorhanden ist.