Archiv für den Monat: Juli 2012

DEFCON 2012: Android-Schädlinge in Luckycat-Servern

Hinterlassen Sie eine Antwort

Originalartikel von Raimund Genes, Chief Technology Officer

Es ist bekannt, dass Angreifer die Netzwerkumgebungen ihrer Opfer erst erkunden, bevor sie aktiv werden. Daher scheint es nur logisch, dass in Zeiten zunehmender Mobilität auch mobile Schadsoftware in gezielten Angriffen häufiger eingesetzt wird. War dies bis vor kurzem eher Spekulation, so haben wir nun Gewissheit, dass aus der Theorie Wirklichkeit geworden ist.
Auf der DEFCON (26.07. – 29.07.) in Las Vegas zeigten die Sicherheitsexperten von Trend Micro zum ersten Mal, dass Viren für die Infektion von Dateien für Android geschrieben werden können. Jetzt gibt es erste klare Beweise, dass die Angreifer ihre Zielgruppe auf mobile Plattformen ausweiten. Die Sicherheitsforscher entdeckten während der Überwachung eines Luckycat C&C-Servers zwei APKs noch in einem frühen Stadium der Entwicklung.
Zur Erinnerung: Die Luckycat-Kampagne war auf verschiedene Ziele ausgerichtet und nutzte eine Vielfalt von Schädlingen, von denen einige auch in Beziehung zu weiteren Cyberspionage-Kampagnen standen.
Die Android-Apps, die die Sicherheitsforscher fanden, besitzen RAT (Remote Access Trojan) -Funktionalität. Sie können ein Gerät nach wichtigen Informationen durchsuchen und diese Daten auf entfernte Servern hochladen. Auch sind sie in der Lage, Dateien herunterzuladen, um neuere Versionen der Malware zu erhalten. Auch eine Remote Shell ist als Befehl in den Apps vorhanden, doch scheinen die aktuellen APKs in dieser Hinsicht unvollständig zu sein.
Das Vorhandensein dieser Apps zeigt deutlich, wie riskant es ist, im Rahmen von BYOD-Konzepten Smartphones und Tablets zu erlauben, sich ins Unternehmensnetzwerk einzuwählen, ohne die entsprechenden Sicherheitsmaßnahmen getroffen zu haben. Mobilgeräte mögen, klein, handlich und bequem sein, doch setzen sie die Nutzer denselben Gefahren aus wie früher die Desktops.
Diese Entwicklung der gezielten Attacken lässt darauf schließen, dass die Angreifer sich den jeweiligen Trends in den Netzwerkumgebungen anpassen. Die Präsentation auf der DEFCON thematisierte auch SABPUB, eine von Luckycat genutzte Mac-Malware. Lange Zeit galt der Mac als Betriebssystem, das die Cyberkriminellen zugunsten von Windows links liegen lassen.
Die wichtigen Erkenntnisse sind auch in dem Papier „Adding Android and Mac OS X Malware to the APT Toolbox“ von Nart Villeneuve, Ben April und Xingqi Ding zusammengefasst.

Achtung beim Online Ticket-Kauf für die Olympiade: Phisher am Werk

Hinterlassen Sie eine Antwort

Originalartikel von Karla Agregado, Fraud Analyst

Kurz vor der Eröffnung der Olympischen Spiele in London erwarten die Sicherheitsforscher eine Zunahme der Online-Angriffe mit verschiedenen damit verbundenen Aktivitäten als Köder. In Facebook gab es bereits einen diesbezüglich interessanten Pinnwand-Eintrag:

Die Site in der Domäne liveolympictickets(dot)com gibt vor Eintrittskarten zu verkaufen. Sie nutzt die Farben und das Look-and-Feel der offiziellen Seite.

Doch klickt ein ahnungsloser Nutzer den blauen Tab tab Olympic Tickets – Buy Tickets for the London 2012 Olympics an, so wird er auf weitere Seiten umgeleitet, die normale Online-Transaktionsseiten nachahmen und etwa Einzelheiten über die zum Verkauf angebotenen Tickets geben. So kann der Nutzer im weiteren Verlauf der Transaktion angeben, welchen Wettkampf er sehen möchte.

Dann jedoch werden seine persönlichen Informationen abgefragt:

Schließlich soll der Nutzer für die Zahlung seine Kreditkarteninformationen angeben oder eine andere Zahlart wählen:

Auf der letzten Seite wird dem Opfer angezeigt, dass seine Bestellung bestätigt wurde.

Die Sicherheitsexperten haben auf der offiziellen Website der Olympiade geprüft, ob es sich um einen legitimen Eintrittskartenanbieter handelt. Die Site wurde nicht erkannt und ist daher auch nicht berechtigt Eintrittskarten zu verkaufen. Die weitere Analyse ergab, dass es tatsächlich eine Phishing-Seite ist, die lediglich die Informationen der Opfer abgreifen will.

Darüber hinaus entdeckten die Experten eine Reihe neuer Domänen, die auf dieses Großereignis ausgerichtet sind und Schlüsselwörter wie “2012 london summer games”, “2012 olympic ticket”, “britain olympics 2012” oder “olympic 2012 ticket” enthalten.

Trend Micro hat bereits über den Web Reputation Service alle bösartigen URLs geblockt. Das heißt, Anwender von Trend Micro sind über das Smart Protection Network vor dieser Gefahr geschützt. Ausführliche Informationen zu den Olympiade-bezogenen Gefahren finden Interessierte hier.

Hilft Jelly Bean der Sicherheit und BYOD?

1 Antwort

Originalartikel von Cesare Garlati, Vice President Mobile Security

Googles kürzlich angekündigte Version Android 4.1, Jelly Bean genannt, stellt eine Weiterentwicklung des mobilen Betriebssystems in Richtung Apple iOS dar und bietet vor allem Verbesserungen für die Verbraucher und die Benutzerfreundlichkeit. Aus Sicht des BYOD-Konzepts (Bring your own Device) hat sich nicht viel geändert. Im Gegenteil, es gibt weitere Gründe sich um die Sicherheit zu sorgen aufgrund von Funktionalität bezüglich der Wi-Fi-Verbindungen und des Datenaustausches. Dazu gehört Wi-Fi Direct, eine Technik, die es Apps erlaubt, direkt über breitbandige Peer-to-Peer-Verbindungen miteinander zu kommunizieren. Des weiteren geht es um Android Beam für den Bluetooth-Datenaustausch zwischen Geräten, etwa im Bereich NFC.

Doch werden sich IT-Manager über das neue Network Bandwidth Management API sowie die Smart App Update-Funktionalität freuen. Das überarbeitete Network Bandwidth Management könnte Unternehmen Kosten im Mobilbereich sparen, wenn ein Gerät mit einem kommerziellen Netzwerk verbunden ist. Apps können abfragen, ob das aktuelle Netzwerk kostenpflichtig ist, bevor sie einen größeren Download starten. Das neue API erfordert jedoch die Einbindung in ein Mobile Device Management-System und/oder Telecom Expense Management (TEM), um Netzwerkaktivitäten entsprechend verwalten zu können.

Die Smart App Update-Funktion verkleinert die Updates für Apps, sodass sie schneller und kostengünstiger herunterzuladen sind. Dies könnte auch der Sicherheit dienen, denn die Endanwender werden somit ihre Apps eher auf aktuellem Stand halten.

Zwei der neuen Funktionen haben einen direkten Einfluss auf die Sicherheit:

  • App Encryption: Diese Funktion wird mit der neuen Version in Google Play integriert und soll die dort zur Verfügung stehenden kostenpflichtigen Anwendungen schützen. Dafür werden diese mit einem gerätespezifischen Schlüssel verschlüsselt, bevor sie ausgeliefert und auf einem Gerät gespeichert werden. Allerdings dient dies eher dem Schutz der App-Entwickler vor illegalen Downloads als der Vorsorge vor Datenverlust durch Geräte, die sich mit Unternehmensnetzwerken verbinden. Die Verschlüsselung gilt lediglich dem Anwendungscode selbst und auch nur dann, wenn dieser aus dem offiziellen Google-Store heruntergeladen wird. Als Nebeneffekt könnte die neue Verschlüsselung sogar die Entwicklung und Ausführung von unabhängigen mobilen Reputationsdiensten erschweren – so etwa den von Trend Micro, der eine Vielfalt an Android-Stores scannt, die von Malware bedroht sind, einschließlich Google Play. Auf der anderen Seite mag es auch Hackern das Reverse Engineering von legitimen Apps, um Schädlinge einzuschleusen, erschweren.
  • PDK: Das Android Platform Developers Kit ist die Hardware-Variante der Software SDKs für App-Entwickler. SDKs werden üblicherweise schon Monate vor dem Lauch eines Produkts ausgegeben, weil Plattformanbieter den Entwicklern schon frühzeitig die Möglichkeit geben wollen, ihre Anwendungen fertigzustellen. Dies ist begrüßenswert, doch andererseits könnte es im Fall der PDKs zu einer größeren Android-Fragmentierung führen. Diese wird vor allem von Willen der OEMs getrieben, sich von Commodity-Produkten zu unterscheiden und weniger von technischen Motiven. Nicht zu vergessen, dass OEMs möglichst viele neue Geräte verkaufen und weniger Upgrades auf eine neue Betriebssystemversion anbringen wollen.

Fazit: Trotz einiger Sicherheits- und Managementfunktionalitäten auf Unternehmensebene, die allmählich in Android Eingang finden, bleibt für Googles Android der Verbraucher die Hauptzielgruppe. Und deshalb geht es vor allem um Eigenschaften im Design, den Formfaktor, coole Benutzerschnittstellen und weniger um Verschlüsselung, VPN- oder MDM-Unterstützung.

Bösartige Apps trotz Google Bouncer

Hinterlassen Sie eine Antwort

Originalartikel von Oliva Hou, Product Manager

Die Zahl der Android-Schädlinge ist seit Ende letzten Jahres rapide angestiegen. Um bösartige Apps aus dem offiziellen Store Google Play fernzuhalten, hatte der Anbieter unter dem Codenamen Bouncer im Februar einen Sicherheitsdienst aufgesetzt.

Bouncer scannt mithilfe seiner Reputations-Engine und der Cloud-Infrastruktur automatisch und unbemerkt die Apps (sowohl die neuen als auch existierende) und auch die Entwicklerkonten im Store. Google zufolge konnte dank Bouncer die Zahl der bösartigen Apps um 40 Prozent gesenkt werden.

 Forscher finden Möglichkeiten des Fingerprintings für Bouncer

Nun haben kürzlich zwei Sicherheitsforscher herausgefunden, dass Bouncer über Fingerprinting angegriffen werden kann. Um dies zu beweisen, stellten sie eine Android-App ein, die Shell-Code enthielt, der im Bouncer „herumstocherte“, während dieser die App analysierte. Der eingeschleuste Code nahm auch Verbindung zu den Forschern auf (Phone Home), und so konnten diese einige Details über die Laufzeitumgebung des Sicherheitsdienstes herausfinden. Dabei kam Interessantes ans Tageslicht:

  • Bouncer nutzt als Simulatortyp QUME (Software, die Hardware-Plattformen emulieren kann).
  • Alle virtualisierten Telefoninstanzen im Tool gehören zu demselben Konto und haben genau einen Kontakt und zwei Fotos auf dem simulierten Gerät.
  • Bouncer prüft eine im Store vorhandene App fünf Minuten lang.
  • Er führt nur dynamische Analysen durch. Das heißt, nur Anwendungen, die sich auffällig verhalten, wenn sie im Bouncer laufen, werden als Gefahr erkannt.
  • IP-Adressen, die Google Bouncer zuweist, können eingesehen warden, da die analysierten Apps Zugriff auf Internet erhalten, während sie geprüft werden.

Welche Gefahren drohen Android-Nutzern

Nach diesen Erkenntnissen der Forscher fällt es nicht schwer sich auszumalen, dass bösartige Android-Apps das Fingerprinting tatsächlich nutzen und sich als legitime Anwendungen tarnen, wenn sie in Bouncer laufen. Somit können sie Googles Sicherheitscheck umgehen und dennoch in Google Play zum Herunterladen stehen. Folgende Angriffsszenarien sind denkbar:

  • Verzögerter Angriff: Die Anwendung kann bösartigen Code enthalten und sich beim Check durch Bouncer dennoch gutartig verhalten. Findet sie dann ihren Weg auf das Gerät eines Nutzers wird sie ihre bösartigen Routinen starten.
  • Update-Angriff: Der ursprüngliche Installer muss keinen bösartigen Code enthalten. Damit hat die App noch bessere Chancen, von Bouncer als clean eingestuft zu werden. Wird sie dann von einem echten Nutzer installiert, so kann sie entweder zusätzlichen bösartigen Code herunterladen oder Verbindung mit einem entfernten Control and Command Server aufnehmen und gestohlene Daten hochladen oder weitere Befehle entgegen nehmen. Erst kürzlich konnten zwei gefälschte Apps den Bouncer-Test erfolgreich bestehen, indem sie diese Technik anwendeten. Sie hielten sich zwei Wochen lang in Google Play, ohne entdeckt zu werden. (Trend Micro identifizierte sie als ANDROIDOS_TROJDOWNLOADER.A und ANDROIDOS_TROJSMS.A).

Eine weitere Gruppe von Forschern plant, auf der BlackHat-Konferenz (21.07. – 26.07.) eine andere Technik zu präsentieren. Darüber gibt es noch keine weiteren Informationen.

Nur selbst schützen hilft

Google hat eigenen Angaben zufolge einige Funktionalität des Bouncers geändert, nachdem die Forscher ihre Ergebnisse veröffentlichten. Doch heutige Malware entwickelt sich schnell und deren Programmierer finden immer neue Wege, um Sicherheitschecks zu umgehen.

Das heißt, Bouncer kann zwar viele der bösartigen Apps erkennen, doch werden auch immer wieder welche durchkommen. Auch wenn Google die Möglichkeit hat, aus der Ferne installierte Apps von den Geräten der Nutzer zu entfernen, ist es doch wünschenswert, wenn die Schädlinge gestoppt werden, bevor sie die Geräte erreichen.

Android-Nutzern wird immer wieder empfohlen, vorsichtig zu sein und die möglichen Gefahren im Hinterkopf zu behalten, wenn sie Apps herunterladen und installieren – unabhängig von der Quelle. Auch sollte immer eine Sicherheitssoftware installiert sein, so etwa Trend Micros Mobile Security for Android. Die Software nutzt die Cloud-basierte Mobil App Reputation-Technologie, um besseren Schutz liefern zu können. Mobile Security for Android sucht nicht nur bereits installierte bösartige Apps sondern kann auch diie Installation von verdächtigen Anwendungen stoppen. Weitere Informationen über den Schutz vor Android-spezifischen Gefahren gibt es in den Whitepapers:

Phishing in World of Warcraft

1 Antwort

Originalartikel von Menard Osena, Solutions Product Manager

World of Warcraft: Mists of Pandaria ist die vierte Erweiterung des für viele Teilnehmer ausgelegten Online-Rollenspiels, das erst im letzten Oktober vorgestellt wurde. Seitdem Blizzard im März die eine auf bestimmte Nutzer limitierte Betatest-Phase ankündigte, entdecken die TrendLabs-Forscher immer mehr Phishing-Aktionen innerhalb des Spiels.

Bei den jüngsten Phishing-Angriffen versuchen die Betrüger, das ins Spiel integrierte Mail-System zu missbrauchen. Sie betten bösartige URLs in Mails ein und schicken diese Nachrichten an die In-Game Inboxen der Spieler.

Die Kriminellen fordern darin ihre mögliche Opfer auf, an den Betatests für Mist of Pandaria teilzunehmen und ködern sie mit einem exklusiven In-Game-Geschenk, dem Dragon Turtle Mount, wenn sie sich an ihrer Website anmelden. Blizzard hatte den Dragon Turtle Mount als das ethnische Reittier der Pandaren angekündigt, ein neuer Spiele-Charakter in der aktuellen Erweiterung.

Die URL in der In-Game-Mail zeigt auf eine Phishing-Webseite, die der tatsächlichen Battle.net-Seite nachgebildet ist. Um die Glaubwürdigkeit zu erhöhen, ist sogar die Abkürzung MOP (Mist of Pandaria) im Domänennamen enthalten.

Gibt ein argloser Nutzer auf besagter Seite seine persönlichen Informationen an, so führt dies unweigerlich zu einem Kontodiebstahl. Battel.net ist das zentrale Kontenmanagement für alle Blizzard-Spiele wie World of Warcraft, Starcraft 2 und Diablo III.

Im Gegensatz zu früheren Angriffen zielen die derzeitigen Attacken auf rangniedrige und nicht auf ranghohe oder Level-capped (Level 85) Charaktere. Dies könnte zur Strategie der Vermeidung einer Entdeckung gehören, denn ranghohe Charaktere sind sicherheitserfahrener, weil sie schon länger im Spiel sind.

Die weitere Analyse der bösartigen Domäne führte zu der Entdeckung, dass derselbe Server auch weitere Phishing-Sites hostet, die ebenfalls auf WoW-Spieler ausgerichtet sind:

  • http://{BLOCKED}p.us-support.net
  • http://{BLOCKED}p.wow-support.net
  • http://for{BLOCKED}t-eu-wow-account-blizzard.com
  • http://for{BLOCKED}t-wow-us-account-blizzard.com
  • http://{BLOCKED}a-pandaria.net

Diese bösartigen Websites nutzen in ihren URLs Mist of Pandaria, World of Warcraft und die entsprechenden Abkürzungen.

Anwender von Trend Micro sind gegen diese Gefahren über das Smart Protection Network geschützt, denn dieses blockt den Zugang zu den Phishing-Sites.

Einige der Phishing-Sites wurde nur wenige Tage nach der Ankündigung von Mist of Pandaria als nächste Erweiterung von WoW registriert. Das zeigt, dass die Kriminellen immer auf neuestem Kenntnisstand sind und stetig auf der Suche nach Ereignissen und Chancen, ihre Gewinne zu verbessern.

Blizzard hat mittlerweile die Sicherheitsmaßnahmen verstärkt. Der Anbieter hat eine eigene Sicherheitsseite eingerichtet, um das Sicherheitsbewusstsein der Nutzer zu verbessern. Die Seite gibt eine Sicherheits-Checkliste und eine Anleitung dafür, was ein Nutzer tun sollte, falls er glaubt, sein Konto könnte kompromittiert sein. Auch hat Blizzard seinen Authenticator (als App für iOS und Android sowie als Keychain Fob erhältlich) stärker beworben. Er ist als exklusiver WoW Corehound für Nutzer die die Authentication Services anwenden kostenlos.

Online-Spieler finden auch im Security and Gaming e-Guide hilfreiche Tipps, um ihre Spielepraxis sicherer zu gestalten.