Aktuelles, Branche - geschrieben von dp am Donnerstag, März 23, 2017 17:36 - noch keine Kommentare
Palo Alto Networks meldet Missbrauch von Android Plugin Frameworks
Cyber-Kriminelle nutzen „neue Form aggressiver Adware“
[datensicherheit.de, 23.03.2017] Die Forschungsabteilung von Palo Alto Networks, „Unit 42“, hat nach eigenen Angaben eine „neue Form aggressiver Adware“ entdeckt. Es sei üblich bei legalen mobilen Apps, Werbe-SDKs einzubetten oder andere Apps zu bewerben – durch Werbung für andere Apps könnten legale App-Entwickler Einnahmen generieren. Allerdings beobachte „Unit 42“ seit Kurzem einen alarmierenden Trend in den Mobile-Ad-Communities: So seien einige im „Google Play Store“ gelisteten Adware-Programme aggressiver geworden, indem sie das Drittanbieter-„DroidPlugin“-Framework auf „Android“ missbrauchten.
Missbrauch legitimer Plugin-Technologie
Plugin-Technologie sei ursprünglich von Drittanbietern eingeführt worden, um neue Fähigkeiten für „Android“ hinzuzufügen. Zum Beispiel ermögliche „Parallel Space“ einem Benutzer, zwei twitter-Apps auf einem Telefon auszuführen. Plugin-Technologie könne auch die Geschwindigkeit beim Hot-Patching verbessern.
Leider könnten die durch die Plugin-Technologie gebotenen Erweiterungen und Fähigkeiten auch für böswillige Zwecke verwendet werden. Malware-Autoren hätten legitime Plugin-Technologie missbraucht, etwa um Antimalware-Technologie auf Geräten zu umgehen, insbesondere statische Scanner.
„Android“-Plugin-Funktionalität auf innovative Weise nutzbar
Die Malware-Forschung habe zuvor schon herausgefunden, dass die beliebtesten Open-Source-Plugin-Frameworks „DroidPlugin“ und „VirtualApp“ missbraucht würden. Beide Frameworks könnten beliebige „Android“-Apps starten, theoretisch ohne Installation auf dem Telefon. Technisch gesehen sei die „Android“-Plugin-Technologie eine Virtualisierungsumgebung auf Anwendungsebene.
Die Forscher von Palo Alto Networks hätten nun vor Kurzem jedoch herausgefunden, wie die „Android“-Plugin-Funktionalität auf innovative Weise genutzt werden könne, um Apps durch Adware zu bewerben.
Verletzung eines wichtigen Aspekts der „Android Application Sandbox“
Eine Plugin-fähige App habe die Möglichkeit, verschiedene Apps automatisch zu starten, ohne sie zu installieren. Diese stelle eine Verknüpfung für die Adware dar, um Einnahmen aus Werbenetzwerken zu generieren, da die beworbene App ohne jegliche Benutzerinteraktion gestartet werden könne.
Diese Art von App-Werbung könne jedoch aufgrund der vergleichsweise schwachen Sicherheitsmechanismen, die in aktuellen Plugin-Frameworks verwendet würden, Sicherheitsrisiken hinterlassen. Den Plugin-Frameworks fehle die Fähigkeit, Berechtigungen zu trennen und Daten zwischen verschiedenen Plugin-Instanzen zu isolieren. Wenn also eine beworbene App über das Plugin-Framework ausgeführt wird, habe sie dieselben Berechtigungen wie die Host-App (normalerweise alle „Android“-Berechtigungen) und könne auf die Daten der Host-App oder anderer Plugin-Apps zugreifen. Dies verletze einen wichtigen Aspekt der „Android Application Sandbox“, welche App-Daten des Benutzers und die Code-Ausführung von anderen Apps isoliere.
Private Daten eigener Plugin-Apps und Geräte sehr gefährdet
Legitime Apps, die eigentlich immer in ihrer eigenen „Application Sandbox“ laufen sollten, seien jetzt gefährdet, weil es nicht vorhersehbar sei, ob die App in einer Plugin-Umgebung gestartet wird. Beispielsweise habe Palo Alto Networks in „Google Play“ beobachtet, dass 32 Apps das „DroidPlugin“-Framework und 21 Apps das „VirtualApp“-Framework verwendeten. Die meisten davon seien PUPs (Potentially Unwanted Programs) oder Adware, die aus „Google Play“ entfernt worden seien.
Die folgenden Beispiele zeigten, wie zwei Adware-Familien die Plugin-Technologie im neuen App-Promotion-Stil missbrauchten:
- Beispiel 1 – automatisierte und aggressive App-Bewerbung: Im September 2016 hätten die Entwickler einer App namens „Clean Doctor“ (Paketname „com.nianclub.cleandoctor“) die Version 1.2.0 aggressiver gemacht – diese Adware missbrauche das „VirtualApp“-Framework.
- Beispiel 2 – multiple App-Bewerbung: Ende Januar 2017 habe „Unit 42“ festgestellt, dass Entwickler der Adware-App „bloodpressure“ in „Google Play“ (Paketname: „com.blood.pressure.bost“) diese aggressiver gemacht hätten – durch Missbrauch der „Android“-Plugin-Technologie. Diese Adware starte automatisch eine separate App, um Werbung für mehrere Apps auf einmal anzuzeigen.
Die „Android“-Plugin-Technologie mache es also möglich, dass Adware-Autoren auf eine neue Art und Weise finanziellen Gewinn generierten. Diese Art von Missbrauch sei schädlich sowohl für Werbenetzwerke als auch „Android“-Nutzer. Palo Alto Networks hofft nach eigener Aussage, „dass die Mobile-App-Entwickler-Community und die Security-Community zusammenarbeiten werden, um die Sicherheitsprobleme in der Android-Plugin-Technologie zu lösen“. „Android“-Nutzer sollten erfahren, dass die privaten Daten ihrer Plugin-Apps und ihre Geräte sehr gefährdet seien, wenn sie im „Android“-Plugin-Umfeld operieren.
Weitere Informationen zum Thema:
datensicherheit.de, 07.11.2016
Svpeng: Mobiler Banking-Trojaner attackiert Android-Nutzer
datensicherheit.de, 06.09.2016
Banking-Trojaner Gugi: Neue Sicherheitsfunktionen bei Android 6 überlistet
datensicherheit.de, 22.08.2016
HPI: Neuen Höchststand bei Android-Sicherheitslücken
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren