Erste mit Kotlin entwickelte bösartige App aufgetaucht

Originalbeitrag von Lorin Wu, Mobile Threats Analyst

Die Sicherheitsforscher von Trend Micro haben eine bösartige App (ANDROIDOS_BKOTKLIND.HRX) entdeckt – anscheinend die erste mit Hilfe von Kotlin entwickelte. Kotlin ist eine quelloffene Programmiersprache für moderne Multiplattform-Anwendungen. Das von Trend Micro gefundene Sample in Google Play gab sich als Swift Cleaner aus, ein Utility Tool, das Android-Geräte säubert und optimiert. Die bösartige App wurde 1000 bis 5000 Mal installiert und ermöglicht die Ausführung von Befehlen aus der Ferne, den Informationsdiebstahl, Versenden von SMS, URL-Weiterleitung und Click Ad Fraud. Sie kann auch Nutzer ohne deren Zustimmung bei SMS Bezahlservices anmelden.


Bild 1. Swift Cleaner, die bösartige App, die sich als Android Säuberungsapp ausgibt

Google kündigte Kotlin im Mai 2017 als erstklassige Sprache für die Entwicklung von Android-Apps an. Seither nutzten 17 Prozent der Android Studio-Projekte die Programmiersprache. Twitter, Pinterest und Netflix gehören zu den Top-Nutzern.

Kotlin wird als präzise beschrieben und reduziert den Boilerplate-Code drastisch. Die Sprache ist sicher, denn sie vermeidet ganze Klassen von Fehlern, wie etwa Null Pointer Exceptions. Sie ist interoperabel, denn sie nutzt vorhandene Bibliotheken für JVM, Android und den Browser. Schließlich soll sie Tool-freundlich sein, denn der Anwender kann jedes Java IDE wählen oder auch von der Befehlszeile aus programmieren. Android Studio 3.0 liefert zudem Tools, die den Nutzern bei der Anwendung von Kotlin behilflich sind und alle Java-Dateien oder Code-Schnipsel sofort konvertieren können, wenn Java-Code in eine Kotlin-Datei eingefügt wird.

Es ist jedoch noch nicht bekannt, ob diese Fähigkeiten von Kotlin bei der Erstellung von Schadsoftware ebenfalls von Vorteil sind.

Technische Beschreibung

Wird der Swift Cleaner gestartet, so schickt die Schadsoftware die Geräteinformationen des Opfers an seine Remote-Server und startet den Background-Service, um Befehle von seinem C&C-Server zu erhalten. Nach dem Erhalt des SMS-Befehls führt der Remote-Server URL-Weiterleitung und Click Ad Fraud durch. Die Schadsoftware kann auch Informationen vom Service Provider des Nutzers hochladen, zusammen mit Einwahldaten und CAPTCHA-Bildern. Danach verarbeitet der C&C-Server automatisch das Abo für den SMS-Bezahldienst, und das kostet das Opfer Geld.

Gegenmaßnahmen

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites.

Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Anwendungssicherheitslücken. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.

Trend Micro hat Google über das Sicherheitsproblem in Kenntnis gesetzt, und das Unternehmen hat die Schutzmechanismen für Google Play überprüft.

Indicators of Compromise (IoCs) und C&C-Server listet der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.