Apps für Dekorationsideen infiziert
Die infizierten Apps, die die Forscher beobachteten, enthielten Apps für Dekorationsideen. Was alle Apps gemeinsam hatten, war die Verwendung von Android WebView, um statische HTML-Seiten anzuzeigen. Auf den ersten Blick macht jede Seite nicht mehr als lokal gespeicherte Bilder zu laden und hartcodierten Text anzuzeigen. Allerdings zeigte eine tiefgehende Analyse des HTML-Codes ein kleines verstecktes IFrame, das zu bekannten bösartigen Domains verlinkt. Obwohl die verknüpften Domains zum Zeitpunkt der Untersuchung abgeschaltet waren, ist die Tatsache, dass so viele Apps bei Google Play infiziert sind, bemerkenswert.
Noch bemerkenswerter ist, dass eine der infizierten Seiten auch versucht, eine bösartige ausführbare Windows-Datei herunterzuladen und zu installieren. Da das Android-Gerät aber nicht mit Windows läuft, wird diese nicht ausgeführt. Dieses Verhalten passt gut in die Kategorie der Non-Android-Bedrohungen, die kürzlich von Google Android Security veröffentlicht wurden. Entsprechend der Klassifizierung beziehen sich diese Bedrohungen auf Apps, die dem Benutzer oder Android-Gerät nicht schaden können, aber Komponenten enthalten, die möglicherweise für andere Plattformen schädlich sind.
Verborgenes IFrame
Alle infizierten Apps sind mit zwei Aktivitäten ausgestattet. Die eine dient dazu, Interstitial-Werbung zu laden, und die andere, um die Haupt-App zu laden. Letztere instanziiert eine Android-WebView-Komponente und zeigt eine lokale HTML-Seite mit Bildern und Text an. Allerdings wurde am Ende jeder HTML-Seite eine kleine versteckte IFrame-Komponente hinzugefügt.
Die Forscher von Palo Alto Networks haben zwei Techniken beobachtet, um dieses IFrame zu verbergen. Eine Technik ist, das IFrame winzig zu machen, indem seine Höhe und Breite auf 1 Pixel eingestellt werden. Die andere Technik besteht darin, das Anzeigeattribut in der IFrame-Spezifikation auf „None“ zu setzen. Um die Erkennung durch einfaches String-Matching zu vermeiden, wurden die Quell-URLs zudem mit HTML-Nummerncodes verschleiert.
Plattformen als Träger für Malware
Die infizierten Apps stellen einen neuartigen Weg dar, um Plattformen als „Träger“ für Malware zu nutzen. Dabei soll die Malware unbemerkt auf andere Plattformen verbreitet werden. Ähnlich wie der XcodeGhost-Angriff, den Palo Alto Networks im Jahr 2015 identifiziert hatte, zeigt diese Bedrohung, wie Angriffe auf Entwickler die Endbenutzer beeinträchtigen können.
Ein Angreifer könnte die aktuellen bösartigen Domains auf einfache Weise mit Werbe-URLs ersetzen, um Einnahmen zu generieren. Dies schmälert nicht nur die Einnahmen der rechtmäßigen App-Entwickler, sondern kann auch deren Ruf schädigen. Zweitens könnten aggressive Angreifer bösartige Skripte auf dem Remote-Server platzieren und das JavaScriptInterface nutzen, um auf die native Funktionalität der infizierten Apps zuzugreifen. Durch diesen Vektor wären alle Ressourcen innerhalb der App unter der Kontrolle der Angreifer. Sie könnten auch heimlich arbeiten, um den Server des Entwicklers durch ihren eigenen ersetzen. Informationen, die an den Entwickler-Server gesendet wurden, würde nun in die Hände der Angreifer fallen. Fortgeschrittene Angreifer können auch direkt die interne Logik der App ändern, also ein Rooting-Dienstprogramm hinzufügen, zusätzliche Berechtigungen deklarieren oder bösartige APK-Dateien (Android Package) platzieren.
Palo Alto Networks
Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.
