Android-Schadsoftware MilkyDoor als Nachfolger von DressCode

Originalartikel von Echo Duan and Jason Gu, Mobile Threat Response Engineers

Der Schaden, den mobile Schadsoftware in Unternehmen anrichten kann, wird immer umfassender, denn Mobilgeräte werden zur beliebtesten Plattform für den flexiblen Zugriff und die Verwaltung von Daten. Die Sicherheitsforscher von Trend Micro fanden kürzlich 200 verschiedene Android-Apps (Installationszahlen zwischen 500.000 und einer Million), die einen Backdoor beinhalteten: MilkyDoor (ANDROIDOS_MILKYDOOR.A).

MilkyDoor ähnelt der Android Malware-Familie DressCode (ANDROIDOS_SOCKSBOT.A). Beide setzen einen Proxy ein und nutzen das Secure Socket (SOCKS)-Protokoll, um in internen Netzwerken, mit denen Mobilgeräte verbunden sind, Fuß zu fassen. MilkyDoor bietet Angreifern eine Möglichkeit, über das Aufsetzen von SOCKS-Proxies Erkundungen anzustellen und auf angreifbare Dienste eines Unternehmens zuzugreifen. All dies geschieht ohne Wissen oder Zustimmung des Nutzers.

MilkyDoor als Nachfolger von DressCode bringt ein paar neue eigene bösartige Tricks mit. Dazu zählen die versteckten Routinen, die es ermöglichen, Sicherheitsbeschränkungen zu umgehen und die eigenen bösartigen Aktivitäten im normalen Netzwerkverkehr zu verbergen. Dafür nutzt der Schädling Remote Port-Weiterleitung via Secure Shell (SSH)-Tunnels über den allgemein verwendeten Port 22. Der Missbrauch von SSH hilft dabei, bösartigen Verkehr und Payloads zu verschlüsseln und damit die Erkennung zu erschweren.

Die mit einem Trojaner versehenen Apps tarnen sich als Freizeitanwendung, von Style Guides und Kinderbüchern bis zu Doodle-Anwendungen. Vermutlich handelt es sich dabei um legitime Apps, welche die Cyberkriminellen umpaketiert und mit Trojaner versehen haben, um sie dann wieder in Google Play zu veröffentlichen.

Auswirkung auf Unternehmen

MilkyDoor bedeutet aufgrund der Angriffe auf interne Netzwerke, private Server und letztendlich auf Daten und Assets ein höheres Risiko für Unternehmen. Und die Art, wie MilkyDoor einen SSH-Tunnel aufsetzt, stellt das Unternehmensnetzwerk vor Sicherheitsherausforderungen, vor allem wenn auch BYOD-Geräte damit verbunden sind.

Auch sind die Auswirkungen ernst. Der Schädling gewährt den Angreifern heimlich direkten Zugriff auf eine Vielfalt an Unternehmensdiensten – von Web und FTP bis zu SMTP im internen Netzwerk. So können die Angreifer dort nach internen IP-Adressen suchen, um dann vorhandene angreifbare Server auszumachen. Die kürzlich erfolgte Serie von Kompromittierungen in MongoDB- und ElasticSearch-Datenbanken, wobei deren Besitzer auch erpresst wurden, verdeutlichen die Gefahr. Die Server waren öffentlich und dabei kommt erschwerend hinzu, dass es an Authentifizierungsmechanismen in den internen Datenbanken fehlte.


Bild 1: Beispiel einer MilkyDoor umfassenden App in Google Play

Bild 2: Laut Google Play-Seite bewegt sich die Zahl der Installationen der App in einer Größenordnung zwischen 500.000 und 1.000.000.

Eine bessere Version von DressCode?

Der bösartige Code führt einen Prozess namens android.process.s aus, der als Android-System Package getarnt ist, um von sich abzulenken. Der Schädling fordert einen Drittanbieter-Server (freegeoip[.]net), um die lokale IP-Adresse des Geräts, einschließlich Land, Ort und Standortkoordinaten zu erhalten. Dann lädt er Informationen auf seinen C&C-Server, der mit Daten im JavaScript Object Notation (JSON)-Format antwortet: Nutzer, Passwort und Host eines SSH-Servers. Der Betreiber der Malware verwendet Java Secure Channel (JSch), eine Bibliothek als reine Java-Implementierung von SSH2. Damit setzt er den SSH-Tunnel zwischen dem infizierten Gerät und dem Angreifer auf.

Bild 3: Struktur des bösartigen Codes

Bild 4: Ausführen eines Prozesses in AndroidManifest.xml

Einzelheiten zum technischen Ablauf liefert der Originalbeitrag.

Bild 5: Infiziertes Mobilgerät erlaubt Angreifern, die Firewall zu überwinden und in interne Server einzudringen

Die Analyse des Codes zeigt, dass es sich um ein Software Development Kit (SDK) der Version 1.0.6 handelt, das seit August 2016 verteilt wird. Die Recherche zu MilkyDoor führte auch zu einem Traffic Arbitrage Service, der in einem russischen Bulletin Boardsystem (BBS) beworben wird. Daraus schließen die Sicherheitsforscher, dass der von MilkyDoor aufgesetzte SSH-Tunnel auch zum Erzeugen von Fake-Verkehr genutzt wird, der bei Click Fraud mehr Umsatz für die Angreifer generieren soll. Auch stellten die Forscher fest, dass das in einer infizierten App verwendete Zertifikat Verbindung zu einer hochvolumigen Cyberspionage/Informationsdiebstahls-Kampagne hatte.

All dies zeigt, dass MilkyDoors Backdoor-Fähigkeiten und die damit verbundenen Sicherheitsrisiken vergleichbar mit denen von DressCode sind, die Techniken und Routinen des Nachfolgers jedoch komplexer sind. Berüchtigte Highlights sind die Art, wie der Schädling sich unter den normalen Netzwerkverkehr mischt, seine bösartigen Aktivitäten gut versteckt und die Verwendung des SSH-Tunnels, um Payloads verschlüsseln zu können.

Gegenmaßnahmen

Infolge der Diversifizierung und des Anstiegs der mobilen Bedrohungen müssen Unternehmen ihre Sicherheitsstrategie verstärken. Endbenutzer sollten mehr Umsicht bei der Absicherung ihrer Mobilgeräte walten lassen, vor allem wenn sie dazu genutzt werden, sich mit Unternehmensnetzwerken zu verbinden, darauf zuzugreifen und Assets zu verwalten.

Für BYOD-Geräte können Unternehmen Firewalls aufsetzen, die interne Systeme beim Zugriff auf ungewöhnliche externe Ports einschränken oder gar daran hindern.

Zu den Best Practices für mobile Nutzer gehören Vorsicht vor verdächtigen Apps und Aktualisierung des Betriebssystems der Geräte. Android Patches und Updates kommen nicht regelmäßig, und deshalb sollten Nutzer den Original Equipment Manufacturer (OEM) ihres Geräts nach deren Verfügbarkeit fragen. Unternehmen, in denen BYOD-Programme laufen, müssen die Balance zwischen Produktivität, Flexibilität, Vertraulichkeit und Sicherheit wahren. Für IT- und Systemadministratoren ist ein geeigneter Patch-Managementprozess und bessere Systembeschränkungs-/Berechtigungs-Richtlinien ein Muss für die Sicherheit von BYOD-Geräten.

Trend Micro-Lösungen

Endbenutzer und Unternehmen sollten eine mehrschichtige Sicherheit aufbauen mit Lösungen wie Trend Micro™ Mobile Security for Android™. Mobile Security for Enterprise liefert Geräte- und Anwendungsmanagement, Datenschutz und Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Sicherheitslücken ausnutzen, verhindert nicht autorisierten Zugriff auf Apps und erkennt und blockt Schadsoftware sowie betrügerische Websites.

Trend Micro hat die Erkenntnisse an Google weitergegeben und arbeitet mit dem Unternehmen zusammen daran, die bösartigen Apps aus Google Play zu entfernen. Eine Liste mit Indicators of Compromise (IoCs) einschließlich der zugehörigen Hashes (SHA256) und C&C-Kommunikation gibt es im Anhang.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*