Aktuelles, Branche - geschrieben von dp am Donnerstag, März 23, 2017 17:36 - noch keine Kommentare
Palo Alto Networks meldet Missbrauch von Android Plugin Frameworks
Cyber-Kriminelle nutzen „neue Form aggressiver Adware“
[datensicherheit.de, 23.03.2017] Die Forschungsabteilung von Palo Alto Networks, „Unit 42“, hat nach eigenen Angaben eine „neue Form aggressiver Adware“ entdeckt. Es sei üblich bei legalen mobilen Apps, Werbe-SDKs einzubetten oder andere Apps zu bewerben – durch Werbung für andere Apps könnten legale App-Entwickler Einnahmen generieren. Allerdings beobachte „Unit 42“ seit Kurzem einen alarmierenden Trend in den Mobile-Ad-Communities: So seien einige im „Google Play Store“ gelisteten Adware-Programme aggressiver geworden, indem sie das Drittanbieter-„DroidPlugin“-Framework auf „Android“ missbrauchten.
Missbrauch legitimer Plugin-Technologie
Plugin-Technologie sei ursprünglich von Drittanbietern eingeführt worden, um neue Fähigkeiten für „Android“ hinzuzufügen. Zum Beispiel ermögliche „Parallel Space“ einem Benutzer, zwei twitter-Apps auf einem Telefon auszuführen. Plugin-Technologie könne auch die Geschwindigkeit beim Hot-Patching verbessern.
Leider könnten die durch die Plugin-Technologie gebotenen Erweiterungen und Fähigkeiten auch für böswillige Zwecke verwendet werden. Malware-Autoren hätten legitime Plugin-Technologie missbraucht, etwa um Antimalware-Technologie auf Geräten zu umgehen, insbesondere statische Scanner.
„Android“-Plugin-Funktionalität auf innovative Weise nutzbar
Die Malware-Forschung habe zuvor schon herausgefunden, dass die beliebtesten Open-Source-Plugin-Frameworks „DroidPlugin“ und „VirtualApp“ missbraucht würden. Beide Frameworks könnten beliebige „Android“-Apps starten, theoretisch ohne Installation auf dem Telefon. Technisch gesehen sei die „Android“-Plugin-Technologie eine Virtualisierungsumgebung auf Anwendungsebene.
Die Forscher von Palo Alto Networks hätten nun vor Kurzem jedoch herausgefunden, wie die „Android“-Plugin-Funktionalität auf innovative Weise genutzt werden könne, um Apps durch Adware zu bewerben.
Verletzung eines wichtigen Aspekts der „Android Application Sandbox“
Eine Plugin-fähige App habe die Möglichkeit, verschiedene Apps automatisch zu starten, ohne sie zu installieren. Diese stelle eine Verknüpfung für die Adware dar, um Einnahmen aus Werbenetzwerken zu generieren, da die beworbene App ohne jegliche Benutzerinteraktion gestartet werden könne.
Diese Art von App-Werbung könne jedoch aufgrund der vergleichsweise schwachen Sicherheitsmechanismen, die in aktuellen Plugin-Frameworks verwendet würden, Sicherheitsrisiken hinterlassen. Den Plugin-Frameworks fehle die Fähigkeit, Berechtigungen zu trennen und Daten zwischen verschiedenen Plugin-Instanzen zu isolieren. Wenn also eine beworbene App über das Plugin-Framework ausgeführt wird, habe sie dieselben Berechtigungen wie die Host-App (normalerweise alle „Android“-Berechtigungen) und könne auf die Daten der Host-App oder anderer Plugin-Apps zugreifen. Dies verletze einen wichtigen Aspekt der „Android Application Sandbox“, welche App-Daten des Benutzers und die Code-Ausführung von anderen Apps isoliere.
Private Daten eigener Plugin-Apps und Geräte sehr gefährdet
Legitime Apps, die eigentlich immer in ihrer eigenen „Application Sandbox“ laufen sollten, seien jetzt gefährdet, weil es nicht vorhersehbar sei, ob die App in einer Plugin-Umgebung gestartet wird. Beispielsweise habe Palo Alto Networks in „Google Play“ beobachtet, dass 32 Apps das „DroidPlugin“-Framework und 21 Apps das „VirtualApp“-Framework verwendeten. Die meisten davon seien PUPs (Potentially Unwanted Programs) oder Adware, die aus „Google Play“ entfernt worden seien.
Die folgenden Beispiele zeigten, wie zwei Adware-Familien die Plugin-Technologie im neuen App-Promotion-Stil missbrauchten:
- Beispiel 1 – automatisierte und aggressive App-Bewerbung: Im September 2016 hätten die Entwickler einer App namens „Clean Doctor“ (Paketname „com.nianclub.cleandoctor“) die Version 1.2.0 aggressiver gemacht – diese Adware missbrauche das „VirtualApp“-Framework.
- Beispiel 2 – multiple App-Bewerbung: Ende Januar 2017 habe „Unit 42“ festgestellt, dass Entwickler der Adware-App „bloodpressure“ in „Google Play“ (Paketname: „com.blood.pressure.bost“) diese aggressiver gemacht hätten – durch Missbrauch der „Android“-Plugin-Technologie. Diese Adware starte automatisch eine separate App, um Werbung für mehrere Apps auf einmal anzuzeigen.
Die „Android“-Plugin-Technologie mache es also möglich, dass Adware-Autoren auf eine neue Art und Weise finanziellen Gewinn generierten. Diese Art von Missbrauch sei schädlich sowohl für Werbenetzwerke als auch „Android“-Nutzer. Palo Alto Networks hofft nach eigener Aussage, „dass die Mobile-App-Entwickler-Community und die Security-Community zusammenarbeiten werden, um die Sicherheitsprobleme in der Android-Plugin-Technologie zu lösen“. „Android“-Nutzer sollten erfahren, dass die privaten Daten ihrer Plugin-Apps und ihre Geräte sehr gefährdet seien, wenn sie im „Android“-Plugin-Umfeld operieren.
Weitere Informationen zum Thema:
datensicherheit.de, 07.11.2016
Svpeng: Mobiler Banking-Trojaner attackiert Android-Nutzer
datensicherheit.de, 06.09.2016
Banking-Trojaner Gugi: Neue Sicherheitsfunktionen bei Android 6 überlistet
datensicherheit.de, 22.08.2016
HPI: Neuen Höchststand bei Android-Sicherheitslücken
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren