Janus Android-App lässt Angreifer legitime Apps modifizieren

Originalbeitrag von Veo Zhang, Mobile Threats Analyst

Androids reguläres Sicherheits-Update für Dezember 2017 umfasste einen Fix für eine schwere Schwachstelle, über die Angreifer installierte Apps modifizieren können, ohne deren Signatur zu ändern. Damit wären sie in der Lage, sich indirekt Zugriff auf das betroffene Gerät zu verschaffen. Diese im Juli entdeckte Lücke (CVE-2017-13156, auch Janus-Schwachstelle genannt) betrifft die Android-Versionen von 5.1.1 bis 8.0 – also etwa 74% aller Android-Geräte. Die Trend Micro-Forscher fanden mindestens eine App, die auf die Schwachstelle setzte.

Diese bestimmte Version der App nutzt die Lücke, um sich vor Entdeckung durch mobile Sicherheitslösungen besser zu schützen. Aber künftig könnte die Lücke auch dazu missbraucht werden, um andere Apps zu kompromittieren und auf die Informationen der Nutzer zuzugreifen. Eine ausführliche Analyse der Schwachstelle umfasst der Originalbeitrag.

Im Allgemeinen kann Schadsoftware die Lücke auf zwei Arten ausnutzen. Zum einen lässt sich darüber eine Payload verbergen. Die Schadsoftware könnte sich als eine saubere DEX-Datei tarnen und die bösartige Payload in der APK-Datei später laden. Zum anderen lässt sie sich dafür nutzen, um eine bereits installierte App zu aktualisieren, ohne dass der ursprüngliche Entwickler dies mitbekommt. Ein Angreifer kann dann auf geschützte Daten der Originalapp zugreifen, so etwa auf Nutzer-Credentials und private Informationen. Unter dem Deckmantel der Identität von legitimen Apps lassen sich auch Sicherheitslösungen umgehen.

Angriffe

Nach der Entdeckung der Schwachstelle prüften die Sicherheitsforscher von Trend Micro ihre Malware-Samples, um zu sehen, ob eine bekannte Malware diese genutzt hatte. Sie fanden ein Sample, auf das dies zutraf, doch nicht in der erwarteten Weise. Sie erkannten es als ANDROIDOS_JANUS.A und arbeiteten zusammen mit Google daran, die geeigneten Maßnahmen aufzusetzen und die Nutzer zu benachrichtigen (Google hat die App als bösartig markiert).


Bild 1: Icon der neuen Version der App, die Janus ausnutzt

Die Schadsoftware nutzte die Schwachstelle für das dynamische Laden von Code. Die eingebettete DEX-Datei enthält nur eine kleine Payload, die die tatsächliche Payload aus verschiedenen Assets entschlüsselt und dynamisch lädt. Dies geschieht über die Janus-Schwachstelle. Sie umgeht Malware Scanner, die diese Datei als DEX behandeln und damit als sauber bewerten. Sie läuft als Hintergrunddienst, wenn das Android-Gerät hochfährt, und verbindet sich mit ihrem C&C-Server, der ihr den Befehl übermittelt, weitere Schadsoftware zu installieren.

Android 7.0 (Nougat) führte ein neues Signaturenschema ein (Version 2), wobei die Signatur und deren Verarbeitung aus der Meta-Sektion in einen APK-Signierblock verschoben wurde, der sich zwischen den Dateieinträgen und dem Central Directory in der APK-Datei befindet. Sie schützt die Integrität der anderen drei Sektionen.

Bild 2: Zusätzlicher Signierblock in der APK-Datei

Aus Kompatibilitätsgründen ziehen die Entwickler ein gemischtes Signaturschema (Version 1 und 2) vor.

Fazit

Die Wirkung dieser Schwachstelle ist der der Master Key-Lücke weitgehend ähnlich, die Android vor einigen Jahren betraf. Beide erlauben es, legitime Apps zu modifizieren, ohne dass Nutzer dies mitbekommen.

Nicht alle mobile Sicherheitslösungen sind in der Lage, mit einer solchen Herausforderung fertig zu werden. Bösartiger DEX-Code, der in normale Apps eingebettet ist, kann viele Sicherheitslösungen umgehen. Auch MDM-Unternehmenslösungen können diese Apps nicht immer erkennen.

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites.

Trend Micro Mobile App Reputatios Service (MARS) ist für Android- und iOS-Bedrohungen zuständig und nutzt in seiner Arbeitsweise Sandboxing und Machine Learning-Technik. MARS kann Nutzer vor Schadsoftware, Zero-Day- und bekannten Schwachstellen, Vertraulichkeitsbrüchen sowie Anwendungsschwachstellen schützen.

Indicators of Compromise

Die App mit dem folgenden Hash steht im Zusammenhang mit dieser Bedrohung:

SHA256 Package Name Label
a28a10823a9cc7d7ebc1f169c544f2b14afc8b756087b5f2c3a50c088089f07d com.fleeeishei.erabladmounsem World News

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*