Aktuelles, Branche - geschrieben von dp am Donnerstag, März 23, 2017 17:36 - noch keine Kommentare
Palo Alto Networks meldet Missbrauch von Android Plugin Frameworks
Cyber-Kriminelle nutzen „neue Form aggressiver Adware“
[datensicherheit.de, 23.03.2017] Die Forschungsabteilung von Palo Alto Networks, „Unit 42“, hat nach eigenen Angaben eine „neue Form aggressiver Adware“ entdeckt. Es sei üblich bei legalen mobilen Apps, Werbe-SDKs einzubetten oder andere Apps zu bewerben – durch Werbung für andere Apps könnten legale App-Entwickler Einnahmen generieren. Allerdings beobachte „Unit 42“ seit Kurzem einen alarmierenden Trend in den Mobile-Ad-Communities: So seien einige im „Google Play Store“ gelisteten Adware-Programme aggressiver geworden, indem sie das Drittanbieter-„DroidPlugin“-Framework auf „Android“ missbrauchten.
Missbrauch legitimer Plugin-Technologie
Plugin-Technologie sei ursprünglich von Drittanbietern eingeführt worden, um neue Fähigkeiten für „Android“ hinzuzufügen. Zum Beispiel ermögliche „Parallel Space“ einem Benutzer, zwei twitter-Apps auf einem Telefon auszuführen. Plugin-Technologie könne auch die Geschwindigkeit beim Hot-Patching verbessern.
Leider könnten die durch die Plugin-Technologie gebotenen Erweiterungen und Fähigkeiten auch für böswillige Zwecke verwendet werden. Malware-Autoren hätten legitime Plugin-Technologie missbraucht, etwa um Antimalware-Technologie auf Geräten zu umgehen, insbesondere statische Scanner.
„Android“-Plugin-Funktionalität auf innovative Weise nutzbar
Die Malware-Forschung habe zuvor schon herausgefunden, dass die beliebtesten Open-Source-Plugin-Frameworks „DroidPlugin“ und „VirtualApp“ missbraucht würden. Beide Frameworks könnten beliebige „Android“-Apps starten, theoretisch ohne Installation auf dem Telefon. Technisch gesehen sei die „Android“-Plugin-Technologie eine Virtualisierungsumgebung auf Anwendungsebene.
Die Forscher von Palo Alto Networks hätten nun vor Kurzem jedoch herausgefunden, wie die „Android“-Plugin-Funktionalität auf innovative Weise genutzt werden könne, um Apps durch Adware zu bewerben.
Verletzung eines wichtigen Aspekts der „Android Application Sandbox“
Eine Plugin-fähige App habe die Möglichkeit, verschiedene Apps automatisch zu starten, ohne sie zu installieren. Diese stelle eine Verknüpfung für die Adware dar, um Einnahmen aus Werbenetzwerken zu generieren, da die beworbene App ohne jegliche Benutzerinteraktion gestartet werden könne.
Diese Art von App-Werbung könne jedoch aufgrund der vergleichsweise schwachen Sicherheitsmechanismen, die in aktuellen Plugin-Frameworks verwendet würden, Sicherheitsrisiken hinterlassen. Den Plugin-Frameworks fehle die Fähigkeit, Berechtigungen zu trennen und Daten zwischen verschiedenen Plugin-Instanzen zu isolieren. Wenn also eine beworbene App über das Plugin-Framework ausgeführt wird, habe sie dieselben Berechtigungen wie die Host-App (normalerweise alle „Android“-Berechtigungen) und könne auf die Daten der Host-App oder anderer Plugin-Apps zugreifen. Dies verletze einen wichtigen Aspekt der „Android Application Sandbox“, welche App-Daten des Benutzers und die Code-Ausführung von anderen Apps isoliere.
Private Daten eigener Plugin-Apps und Geräte sehr gefährdet
Legitime Apps, die eigentlich immer in ihrer eigenen „Application Sandbox“ laufen sollten, seien jetzt gefährdet, weil es nicht vorhersehbar sei, ob die App in einer Plugin-Umgebung gestartet wird. Beispielsweise habe Palo Alto Networks in „Google Play“ beobachtet, dass 32 Apps das „DroidPlugin“-Framework und 21 Apps das „VirtualApp“-Framework verwendeten. Die meisten davon seien PUPs (Potentially Unwanted Programs) oder Adware, die aus „Google Play“ entfernt worden seien.
Die folgenden Beispiele zeigten, wie zwei Adware-Familien die Plugin-Technologie im neuen App-Promotion-Stil missbrauchten:
- Beispiel 1 – automatisierte und aggressive App-Bewerbung: Im September 2016 hätten die Entwickler einer App namens „Clean Doctor“ (Paketname „com.nianclub.cleandoctor“) die Version 1.2.0 aggressiver gemacht – diese Adware missbrauche das „VirtualApp“-Framework.
- Beispiel 2 – multiple App-Bewerbung: Ende Januar 2017 habe „Unit 42“ festgestellt, dass Entwickler der Adware-App „bloodpressure“ in „Google Play“ (Paketname: „com.blood.pressure.bost“) diese aggressiver gemacht hätten – durch Missbrauch der „Android“-Plugin-Technologie. Diese Adware starte automatisch eine separate App, um Werbung für mehrere Apps auf einmal anzuzeigen.
Die „Android“-Plugin-Technologie mache es also möglich, dass Adware-Autoren auf eine neue Art und Weise finanziellen Gewinn generierten. Diese Art von Missbrauch sei schädlich sowohl für Werbenetzwerke als auch „Android“-Nutzer. Palo Alto Networks hofft nach eigener Aussage, „dass die Mobile-App-Entwickler-Community und die Security-Community zusammenarbeiten werden, um die Sicherheitsprobleme in der Android-Plugin-Technologie zu lösen“. „Android“-Nutzer sollten erfahren, dass die privaten Daten ihrer Plugin-Apps und ihre Geräte sehr gefährdet seien, wenn sie im „Android“-Plugin-Umfeld operieren.
Weitere Informationen zum Thema:
datensicherheit.de, 07.11.2016
Svpeng: Mobiler Banking-Trojaner attackiert Android-Nutzer
datensicherheit.de, 06.09.2016
Banking-Trojaner Gugi: Neue Sicherheitsfunktionen bei Android 6 überlistet
datensicherheit.de, 22.08.2016
HPI: Neuen Höchststand bei Android-Sicherheitslücken
Aktuelles, Experten - Jul 25, 2024 16:32 - noch keine Kommentare
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
weitere Beiträge in Experten
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
- Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024
Aktuelles, Branche - Jul 26, 2024 1:00 - noch keine Kommentare
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
weitere Beiträge in Branche
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
- Vielfältige Cyber-Bedrohungen rund um die Olympischen Spiele 2024
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren