Gefälschte Nachrichten-App aus dem Fundus von Hacking Team

Originalbeitrag von Wish Wu, Mobile Threat Response Engineer

Im Leak von Hacking Team fanden Trend Micros Sicherheitsforscher ein Muster einer gefälschten Nachrichten-App, die darauf zugeschnitten ist, Filter in Google Play zu umgehen. Es gab bereits Berichte darüber, dass iOS-Geräte durch Spyware, die Hacking Team zugeschrieben wird, gefährdet sind. Die gefälschte News App wurde bis zu 50-mal herunter geladen, bevor sie am 7. Juli aus Google Play entfernt wurde.
Die “BeNews”-App ist eine Hintertür-App, die den Namen der nicht mehr aktiven Site BeNews missbraucht, um glaubwürdig zu erscheinen. Im Leak fanden die Forscher nun den Source Code des Backdoors, einschließlich eines Dokuments mit einer Anleitung für den Gebrauch. Daraus lässt sich schließen, dass Hacking Team die App an Kunden lieferte, die sie als Köder für den Download der RCSAndroid-Schadsoftware auf das Android-Zielgerät nutzten.

Die Hintertür ANDROIDOS_HTBENEWS.A kann Android-Versionen von 2.2 Froyo bis 4.4.4 KitKat betreffen, aber ist nicht darauf beschränkt. Der Schädling nutzt CVE-2014-3153, eine Sicherheitslücke in Android, über die sich lokal Privilegien erhöhen lassen. Der Fehler wurde bereits vom Root Exploit TowelRoot dazu missbraucht, um die Gerätesicherheit zu umgehen, Schadsoftware herunterzuladen und Angreifern den Fernzugriff zu ermöglichen.


Bild 1. Screenshots der ‘BeNews” Android App

Die Analyse der App-Routinen zeigt, dass die App die Beschränkungen von Google Play umgehen kann, indem sie dynamisch Technologie lädt. Ursprünglich fordert sie drei Berechtigungen und kann demnach den Google Sicherheitsstandards entsprechend als sicher eingestuft werden, denn es sind keine Exploit-Codes in der App vorhanden. Doch mithilfe der dynamischen Ladetechnologie kann die App Teilcode aus dem Internet herunterladen und ausführen. Dies passiert nicht während Googles Überprüfung der App sondern später, wenn das Opfer die App nutzt.


Bild 2. Screenshots zum dynamischen Laden von Code im Pfad src/libbson/bson.cpp

Das Dokument „core-android-market-master.zip” umfasst ausführliche Anleitungen dazu, wie der Kunden den Backdoor anwenden kann, und auch ein fertiges Google Play-Konto.

Bild 3. Dokument zur Manipulation von BeNews Server Settings



Bild 4. Dokument zum Management des Backdoors in Google Play

Empfehlungen

Zum Schutz der Mobilgeräte vor Bedrohungen, die Google Plays Sicherheitsmaßnahmen umgehen, bietet Trend Micro Mobile Security for Android™.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*