Android-Schadsoftware nutzt SSL zur Tarnung

Originalartikel von Seven Shen, Mobile Threats Analyst

Secure Sockets Layer (SSL) und der Nachfolger Transport Layer Security (TLS) sollen eine sichere verschlüsselte Online-Verbindung zwischen einem Client und einem Server liefern. Der Server muss dabei für weitere Authentifizierung und Verschlüsselung Zertifikate vorhalten, um damit seine Identität direkt und effizient zu beweisen. Doch hat sich die Technik als zweiseitiges Schwert erwiesen, denn Android-Schadsoftware nutzt nun SSL, um ihre Routinen zu verbergen und der Entdeckung zu entgehen.
Mit einer SSL-Verbindung können beide Seiten die Gültigkeit und Sicherheit der Kommunikation garantieren, was besonders für Dienste wie Online-Banking, E-Mail, soziale Netzwerk besonders vorteilhaft ist. Denn diese erfordern sichere Tunnel für den Datenaustausch zwischen Clients und Servern. Nun droht neue Gefahr über die Nutzung von SSL-Servern. Android-Schadsoftware kann unterschiedliche Arten von Servern für die eigenen Zwecke einsetzen:

Unbekannte Self-Hosting Server

Beim Einsatz eines unbekannten Self-Hosting SSL-Servers müssen Schadsoftware-Autoren einen angepassten TrustManager (der entscheiden kann, die Logindaten zu akzeptieren) und SSL-Sockets erstellen, die bewirken, dass die bösartige App den Zertifikaten des Servers vertraut. Ein solcher TrustManager und SSL-Sockets sind deswegen erforderlich, weil Zertifikate des Malware-Servers normalerweise nicht im Android OS enthalten sind. Dieser Weg bereitet häufig viel Mühe, denn wenn ein Server oder eine Domäne geändert wird (häufig als Reaktion auf AV-Entdeckung), so kann die SSL-Verbindung während der Überprüfung fehlschlagen. Malware-Autoren müssen dann sowohl das Zertifikat als auch die Client-App aktualisieren, um die Verbindung neu aufzusetzen. Außerdem können Sicherheitslösungen die selbst signierten Zertifikate und statischen Server leicht und schnell erkennen. Daher nutzt Schadsoftware nur selten diese Möglichkeit.

Bekannte öffentliche Web-Hosting SSL-Server

Der Einsatz von bekannten öffentlichen Web-Hosting SSL-Servern ist viel bequemer. Diese Server und Domänen sind stabil und autorisiert. Sie haben Zertifikate, die von Trusted Third Party (TTP) Certificate Authorities (CAs) signiert sind, und das Android-OS vertraut ihnen. Die Zertifikate sind bereits im System-Truststore vorhanden. Autoren von Schadsoftware können ihre Identität fälschen und auf diesen Servern bösartige Services hosten, um verschlüsselte Verbindungen zu den infizierten Geräten zu liefern. Beispielsweise hostet eine Schadsoftware (AndroidOS_Exprespam.A) einen bösartigen Backend-Service auf einem wohlbekannten Web-Hosting Server in den USA. Dieser liefert auch HTTPS-Verbindungen mit einem Zertifikat, das die CA RapidSSL ausgestellt hat. Mit dem autorisierten Zertifikat kann die bösartige App einfach über HTTPS geklaute Informationen auf den Server hochladen, ohne den TrustManager ändern zu müssen.

Bild 1. Zertifikate des bekannten Servers

Bild 2. Informationen werden über HTTPS auf dem Server veröffentlicht

Bekannte öffentliche Services

Android-Schadsoftware kann auch bekannte öffentliche Services für Angriffe nutzen. Die Bedrohungsforscher haben drei Arten von Anwendungsdiensten gefunden, die regelmäßig von Android Malware missbraucht werden. Darüber können Angreifer einfach C&C-Attacken starten, ohne Aufmerksamkeit zu erregen.

Nutzen von E-Mail

ANDROIDOS_GMUSE.HNT gibt vor, eine Dateimanager-App zu sein. Die Schadsoftware stiehlt Nutzer- und Geräteinformationen wie IMEI, Telefonnummern und Bilder, die auf der SD-Karte gespeichert sind. Sobald ein Nutzer die App startet oder das Telefon rebootet, startet die App einen Backend-Dienst, um besagte Daten abzugreifen und an ein hart codiertes Gmail-Konto zu senden.

Bild 3. Codeteil mit dem Gmail-Konto

Google Cloud Messaging

ANDROIDOS_TRAMP.HAT versucht, sich als offizieller Google-Service zu tarnen. Er sammelt Nutzerinformationen wie Telefonnummer, Standort und Kontaktlisten. Bei der Ausführung registriert er sich als GCMBroadCastReceiver. Die bösartige App postet dann die gestohlenen Daten über Google Cloud Messaging. Der Dienst wird für die C&C-Kommunikation genutzt. Befehle wie “send message”, “block call” und “get current location” werden über Google Cloud Messaging ausgetauscht.


Bild 4. Malware nutzt Google Cloud Messaging um den aktuellen Standort zu tracken

Beliebte soziale Netzwerke

ANDROIDOS_BACKDOORSNSTWT.A stößt seinen C&C-Angriff über Twitter an. Die Schadsoftware sucht Twitter URLs und kombiniert die gefundenen Informationen mit einer hart codierten Zeichenfolge, um eine neue C&C URL für Angriffe zu erstellen. Die geklauten Informationen werden an die generierte URL gesendet.


Bild 5. ’this.WILLIAM’ enthält die gecrawlte Zeichenfolge

Vor- und Nachteile von SSL

Cyberkriminelle haben einige Gründe für den Einsatz von SSL. Informationen, die über SSL versendet werden, sind im Vergleich zu solchen in Klartext schwieriger zu enttarnen. Auch nutzen Angreifer zum Teil deswegen SSL-Server und -Dienste, weil es weniger Mühe bereitet, sich dazu Zugang zu verschaffen. Sie können dafür normale, legale Mittel nutzen, etwa einen virtuellen Host von Web-Hosting-Diensten kaufen oder ein neues Konto auf Twitter anlegen. Es bedarf der Zusammenarbeit mit Server und Service Providern, um die mit Angriffen in Verbindung stehenden URLs, Mail-Adressen usw. zu entfernen.

Weil sich Android-Schädlinge ständig weiter entwickeln, sollten Nutzer Apps lediglich aus legitimen Quellen herunterladen. App Stores von Drittanbietern kontrollieren die angebotenen Apps nicht so streng auf Malware. Zudem müssen Anwender eine Sicherheitslösung auf ihrem Gerät haben, die Bedrohungen blockieren kann.

Google wurde über die Probleme informiert.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*