Cyberkriminelle verbessern Stealth-Routinen für Android-Schädlinge mit OBAD

Originalartikel von Veo Zhang (Mobile Threats Analyst)

Zurzeit machen Apps die Runde, die Sicherheitslücken in Android ausnützen, wobei die meisten dieser Apps versuchen, sich höhere Privilegien auf den Geräten der Anwender zu verschaffen. Aber es kommt noch schlimmer: Vor ein paar Tagen hat ein stärkerer und ungleich weiterentwickelter Android-Schädling die Bühne betreten. ANDROIDOS_OBAD geht anscheinend nicht nur auf dieselben Malware-Schreiber wie ANDROIDOS_JIFAKE zurück, sondern besitzt offenbar auch die Fähigkeit, die Deinstallation von den Geräten zu verhindern und weiteren bösartigen Code auszulösen.

Neuere und verbesserte Stealth-Routinen

Die neue Schädlingsfamilie weist Stealth- und Anti-Reverse-Routinen auf, die sowohl an die Fähigkeiten von Durchschnittsanwendern als auch von Sicherheitsforschern angepasst sind. Einmal installiert, fordert der Schädling Root-Privilegien ein und aktiviert den Geräteadministrator. Da ANDROIDOS_OBAD dadurch Root-Privilegien erlangt, gewinnt der Schädling die komplette Kontrolle über das Gerät und ermöglicht es dadurch einem Angreifer, diese Kontrolle vollständig auszuüben.

Falls der Anwender der Aufforderung zur Aktivierung nicht Folge leistet, zeigt der Schädling wiederholt Nachrichten an, sobald das Gerät neu gestartet wird. Auch wenn der Anwender den Zurück-Knopf drückt, erscheinen diese Nachrichten. Wird hingegen der Startseite-Knopf gedrückt, kommen die Nachrichten zu irgendeinem späteren Zeitpunkt.

An dieser Stelle hätten die Anwender die letzte Chance, den Schädling zu deinstallieren. Falls jedoch der Geräteadministrator aktiviert wird, läuft die Schadsoftware vollständig im Stealthmodus.

Abbildung 1: Durch die Aktivierung des Geräteadministrators kann der Schädling im abgesicherten Modus laufen

Unter dem Menüpunkt Apps Management lässt sich die bösartige App noch deutlich von den in einer Gruppe zusammengefassten Android-Systemapps unterscheiden. Da es sich jedoch um eine Geräteadminanwendung handelt, lässt sie sich nicht mehr deinstallieren.

Abbildung 2: Informationen zur Schädlings-App

 

Der „Anti-Deinstallationstrick“ funktioniert auch über eine Sicherheitslücke in Android, indem sich der Schädling aus der Managementansicht des Geräteadministrators ausblendet:

Abbildung 3: Der Schädling wird in der Managementansicht des Geräteadministrators nicht angezeigt

 

Aus der Perspektive eines Sicherheitsforschers kommt man zu dem Schluss, dass der Malware-Schreiber von ANDROIDOS_OBAD den Schädling gegen gängige Analysewerkzeuge getestet hat.

Zwar erkennt Android OS die Datei AndroidManifest.xml, aber selbst die gängigen Decodierwerkzeuge sind nicht in der Lage, den Code exakt zu parsen. Und die meisten Sandboxes kämpfen mit dem Problem, die Schadsoftware zu laden, da ANDROIDOS_OBAD die Fähigkeit besitzt, sie noch vorher zu entdecken.

Eine neue Verschleierungstechnik

Der Dalvik-Code der App wird auf eine neue Art und Weise verschleiert – fast jede einzelne Class-Datei hat eine einzigartige, eingebettete versteckte Entschlüsselungsroutine. Dies bedeutet, dass jeder String und jede Funktion, die aufgerufen wird, erst entschlüsselt werden muss, und zwar während die App läuft. Einige Teile des Codes – wie String-Konstanten – sind mehrfach verschlüsselt. Gängige Dekompilierer haben deshalb Schwierigkeiten damit, die Reihenfolge der ausgeführten Befehle korrekt anzuzeigen.

Hier ein Beispiel für einen ungeordneten Ausführungscodeabschnitt aus einer Entschlüsselungsroutine:

Abbildung 4: Code-Beispiel

 

Das obige IF-Statement überschneidet sich mit dem WHILE Loop. Die IF-Bedingung kann nicht wahr sein, so dass der nachfolgende Code niemals ausgeführt werden wird, aber der WHILE Loop wird auf den Mittelteil des IF-folgenden Codeabschnitts zurückverweisen (p6 = (p6+1);). Die korrekte Reihenfolge findet sich in den letzten beiden Zeilen des IF-folgenden Codes zum WHILE Loop, so dass das IF-Statement ausgeschaltet wird.

Nachdem Trend Micro den Code entschlüsseln und analysieren konnte, entstand folgende Liste mit den Fähigkeiten des Schädlings:

  • Das Installationsstartprogramm lässt sich verstecken und läuft als Hintergrunddienst mit der höchsten Prioritätsstufe
  • Der Schädling versucht automatisch, WiFi-Verbindungen zu öffnen und sich mit dem Remote-Server (http://www.{BLOCKED} ofox.com/load.php) zu verbinden
  • Die Schadsoftware greift die Kontaktdaten des Anwenders, das Anrufsprotokoll, den SMS-Eingangsordner und die Liste der installierten Apps ab
  • Der Schädling kann Apps herunterladen, installieren und deinstallieren (mit Hilfe der Root-Privilegien kann dies für den Nutzer unsichtbar im Hintergrund geschehen)
  • Die Schadsoftware verteilt Malware auf anderen Geräten mittels Bluetooth

ANDROIDOS_OBAD versus ANDROIDOS_JIFAKE

ANDROIDOS_OBAD weist eine Reihe ähnlicher Funktionalitäten auf wie sein Vorgänger ANDROIDOS_JIFAKE. Bei Letzterem handelt es sich um ein gefälschtes App-Installationsprogramm, das die Anwender dazu verleitet, es zu installieren und auszuführen. Anschließend registriert sich der Schädling als Service und verbindet sich in Erwartung weiterer Befehle mit entfernten Servern. Der Remote Server kann daraufhin verschiedene Aktionen in Gang setzen, wie zum Beispiel das Versenden von Premium-Textnachrichten oder das bereits beschriebene Vereiteln von Deinstallationsversuchen.

Der „Anti-Deinstallationstrick“ wird durch das Ausnutzen von Androids Geräteadministrationsfunktionalität möglich. Sobald eine App als Geräteadminanwendung installiert ist, kann sie sich die Fähigkeit verschaffen, das Gerät des Anwenders bestimmten Beschränkungen zu unterwerfen. Dazu zählen unter anderem die Durchsetzung von Sicherheitsrichtlinien oder das Sperren und Löschen des Gerätespeichers. Unterhalb dieser Berechtigungsebene wird es schwer, eine App zu deinstallieren, was wesentlich zu dem Erfolg des Anti-Deinstallationstricks beiträgt.

Um die Geräteanwendungsapp zu deinstallieren, müssten die Anwender die Funktion Geräteadministrator unter den Menüpunkten Einstellungen und Sicherheit deaktivieren. Eine bislang unbekannte Android-Sicherheitslücke kann jedoch dazu missbraucht werden, die Deaktivierungsoption auszublenden. In diesem Fall sind die Anwender dazu gezwungen, den Schädling zur Geräteadminapplikation zu machen, da sie keine Möglichkeit haben, diesen Schritt zu verhindern.

Anwender der Sicherheitslösung Trend Micro Mobile Security sind vor der beschriebenen Bedrohung geschützt, da die Schutzsoftware den Schädling bei der Installation erkennt.

 

 

Ein Gedanke zu „Cyberkriminelle verbessern Stealth-Routinen für Android-Schädlinge mit OBAD

  1. Pingback: AndroidWelt – Android-Schädling verweigert die Deinstallation

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*