Palo Alto Networks meldet Missbrauch von Android Plugin Frameworks

Cyber-Kriminelle nutzen „neue Form aggressiver Adware“

[datensicherheit.de, 23.03.2017] Die Forschungsabteilung von Palo Alto Networks, „Unit 42“, hat nach eigenen Angaben eine „neue Form aggressiver Adware“ entdeckt. Es sei üblich bei legalen mobilen Apps, Werbe-SDKs einzubetten oder andere Apps zu bewerben – durch Werbung für andere Apps könnten legale App-Entwickler Einnahmen generieren. Allerdings beobachte „Unit 42“ seit Kurzem einen alarmierenden Trend in den Mobile-Ad-Communities: So seien einige im „Google Play Store“ gelisteten Adware-Programme aggressiver geworden, indem sie das Drittanbieter-„DroidPlugin“-Framework auf „Android“ missbrauchten.

Missbrauch legitimer Plugin-Technologie

Plugin-Technologie sei ursprünglich von Drittanbietern eingeführt worden, um neue Fähigkeiten für „Android“ hinzuzufügen. Zum Beispiel ermögliche „Parallel Space“ einem Benutzer, zwei twitter-Apps auf einem Telefon auszuführen. Plugin-Technologie könne auch die Geschwindigkeit beim Hot-Patching verbessern.
Leider könnten die durch die Plugin-Technologie gebotenen Erweiterungen und Fähigkeiten auch für böswillige Zwecke verwendet werden. Malware-Autoren hätten legitime Plugin-Technologie missbraucht, etwa um Antimalware-Technologie auf Geräten zu umgehen, insbesondere statische Scanner.

„Android“-Plugin-Funktionalität auf innovative Weise nutzbar

Die Malware-Forschung habe zuvor schon herausgefunden, dass die beliebtesten Open-Source-Plugin-Frameworks „DroidPlugin“ und „VirtualApp“ missbraucht würden. Beide Frameworks könnten beliebige „Android“-Apps starten, theoretisch ohne Installation auf dem Telefon. Technisch gesehen sei die „Android“-Plugin-Technologie eine Virtualisierungsumgebung auf Anwendungsebene.
Die Forscher von Palo Alto Networks hätten nun vor Kurzem jedoch herausgefunden, wie die „Android“-Plugin-Funktionalität auf innovative Weise genutzt werden könne, um Apps durch Adware zu bewerben.

Verletzung eines wichtigen Aspekts der „Android Application Sandbox“

Eine Plugin-fähige App habe die Möglichkeit, verschiedene Apps automatisch zu starten, ohne sie zu installieren. Diese stelle eine Verknüpfung für die Adware dar, um Einnahmen aus Werbenetzwerken zu generieren, da die beworbene App ohne jegliche Benutzerinteraktion gestartet werden könne.
Diese Art von App-Werbung könne jedoch aufgrund der vergleichsweise schwachen Sicherheitsmechanismen, die in aktuellen Plugin-Frameworks verwendet würden, Sicherheitsrisiken hinterlassen. Den Plugin-Frameworks fehle die Fähigkeit, Berechtigungen zu trennen und Daten zwischen verschiedenen Plugin-Instanzen zu isolieren. Wenn also eine beworbene App über das Plugin-Framework ausgeführt wird, habe sie dieselben Berechtigungen wie die Host-App (normalerweise alle „Android“-Berechtigungen) und könne auf die Daten der Host-App oder anderer Plugin-Apps zugreifen. Dies verletze einen wichtigen Aspekt der „Android Application Sandbox“, welche App-Daten des Benutzers und die Code-Ausführung von anderen Apps isoliere.

Private Daten eigener Plugin-Apps und Geräte sehr gefährdet

Legitime Apps, die eigentlich immer in ihrer eigenen „Application Sandbox“ laufen sollten, seien jetzt gefährdet, weil es nicht vorhersehbar sei, ob die App in einer Plugin-Umgebung gestartet wird. Beispielsweise habe Palo Alto Networks in „Google Play“ beobachtet, dass 32 Apps das „DroidPlugin“-Framework und 21 Apps das „VirtualApp“-Framework verwendeten. Die meisten davon seien PUPs (Potentially Unwanted Programs) oder Adware, die aus „Google Play“ entfernt worden seien.

Die folgenden Beispiele zeigten, wie zwei Adware-Familien die Plugin-Technologie im neuen App-Promotion-Stil missbrauchten:

• Beispiel 1 – automatisierte und aggressive App-Bewerbung: Im September 2016 hätten die Entwickler einer App namens „Clean Doctor“ (Paketname „com.nianclub.cleandoctor“) die Version 1.2.0 aggressiver gemacht – diese Adware missbrauche das „VirtualApp“-Framework.
• Beispiel 2 – multiple App-Bewerbung: Ende Januar 2017 habe „Unit 42“ festgestellt, dass Entwickler der Adware-App „bloodpressure“ in „Google Play“ (Paketname: „com.blood.pressure.bost“) diese aggressiver gemacht hätten – durch Missbrauch der „Android“-Plugin-Technologie. Diese Adware starte automatisch eine separate App, um Werbung für mehrere Apps auf einmal anzuzeigen.

Die „Android“-Plugin-Technologie mache es also möglich, dass Adware-Autoren auf eine neue Art und Weise finanziellen Gewinn generierten. Diese Art von Missbrauch sei schädlich sowohl für Werbenetzwerke als auch „Android“-Nutzer. Palo Alto Networks hofft nach eigener Aussage, „dass die Mobile-App-Entwickler-Community und die Security-Community zusammenarbeiten werden, um die Sicherheitsprobleme in der Android-Plugin-Technologie zu lösen“. „Android“-Nutzer sollten erfahren, dass die privaten Daten ihrer Plugin-Apps und ihre Geräte sehr gefährdet seien, wenn sie im „Android“-Plugin-Umfeld operieren.

Weitere Informationen zum Thema:

datensicherheit.de, 07.11.2016
Svpeng: Mobiler Banking-Trojaner attackiert Android-Nutzer

datensicherheit.de, 06.09.2016
Banking-Trojaner Gugi: Neue Sicherheitsfunktionen bei Android 6 überlistet

datensicherheit.de, 22.08.2016
HPI: Neuen Höchststand bei Android-Sicherheitslücken