Schlagwort-Archive: Mobile Sicherheit

Library in bestimmten Android-Apps verbindet sich mit C&C-Servern

Originalartikel von Weichao Sun (Mobile Threat Analyst)

Trend Micro hat Android-Apps mit einer bösartigen Library entdeckt (die als ANDROIDOS_BOTPANDA.A erkannt werden). Wenn die Library ausgeführt wird, mutiert das infizierte Gerät zum Zombie, das sich mit bestimmten Befehls- und Kontrollservern verbindet. Auffällig ist an dieser Datei insbesondere, dass sie ihre Routinen in der dynamischen Library versteckt, was die Analyse erschwert.

Die in ADNROIDOS_BOTPANDA.A enthaltene bösartige Library libvadgo wurde mittels NDK entwickelt und über die Schnittstelle Java Native Interface geladen. Bei NDK handelt es sich um ein Toolset für Android-Amateurentwickler, die damit Apps erstellen. ANDROID_BOTPANDA.A enthält die Datei com.airpuh.ad/UpdateCheck, welche die libvadgo-Library lädt und die Java_com_airpuh_ad_UpdateCheck_DataInit-Funktion über den folgenden Code aufruft:

Screenshot des Codes

Screenshot des Codes

Die Trend Micro-Analyse hat ergeben, dass eine der auffälligen Routinen von Java_com_airpuh_ad_UpdateCheck_DataInit verifiziert, ob ein Gerät mit Root-Rechten ausgestattet ist. Hierfür überprüft die Routine die Datei /system/xbin/su. Falls ja, führt die Datei /system/xbin/su aus und anschließend die im Folgenden aufgeführten Befehle in system/xbin/su:

In /system/xbin/su ausgeführte Befehle

In /system/xbin/su ausgeführte Befehle

Ferner führt Java_com_airpuh_ad_UpdateCheck_DataInit die Datei .e[int_a]d aus, die nach einigen Minuten entfernt wird. Im ersten Schritt prüft die .e[int_a]d-Datei, ob /system/lib/libd1.so existiert. Daraufhin tauscht sie Dateien aus und hängt einige wichtige Systembefehle [rm move mount ifconfig chown ] unter system/xbins/by ein, indem sie entsprechende Dateien unter system/bin/ erstellt. Damit verfolgt sie das Ziel, Entdeckung und Beseitigung des Schädlings zu verhindern. Sämtliche erstellten Dateien sind Duplikate von system/lib/lib1.so. Zudem modifiziert die .e[int_a]d-Datei system/bin/svc, indem sie eine bösartige Code-Zeile hinzufügt, so dass der Schadcode automatisch gestartet werden kann.

Außerdem führt die .e[int_a]d-Datei die Hauptroutine des Schädlings aus, nämlich die Kommunikation mit den Befehls- und Kontrollservern ad.{BLOCKED}ew.com ad.{BLOCKED}o8.com und ad.{BLOCKED}8.com über den Port 8511. Diese Server waren jedoch zum Zeitpunkt der Trend Micro-Analyse bereits stillgelegt, so dass die auf dem infizierten Gerät ausgeführten Befehle nicht exakt bestätigt werden können.

Wie bereits erwähnt, besteht das Außergewöhnliche von ANDROIDOS_BOTPANDA.A darin, die dynamische Library libvadgo.so zu missbrauchen. Die Schadsoftware versteckt darin ihre bösartigen Routinen, so dass die Analyse erschwert wird. Außerdem beendet sie bestimmte Prozesse, hängt wichtige Systembefehle ein und tauscht Dateien aus. Das macht die Entdeckung und Beseitigung des Schädlings zu einer schwierigen Aufgabe. Falls weitere Android-Schadsoftware in der Zukunft von dieser Technik Gebrauch macht, stehen Sicherheitsexperten vor einer Herausforderung, was die Analyse und Entwicklung von Lösungen betrifft.

Der Schädling läuft ausschließlich auf Geräten mit Root-Rechten. Deshalb ist es wahrscheinlich, dass er sich über App-Stores von Drittanbietern verbreitet. ANDROIDOS_BOTPANDA.A ist ein Grund mehr für Anwender, beim Herunterladen von Apps Vorsicht walten zu lassen, besonders bei solchen aus App-Stores von Drittanbietern. Tipps, wie Anwender sich besser vor Bedrohungen speziell für Android schützen können, hat Trend Micro in den folgenden beiden Ratgebern für das digitale Leben zusammengestellt:

Nachtrag vom 12. Juni

Trend Micro schützt Anwender vor dieser Bedrohung mit seiner Mobile Security Personal Edition, welche die Apps mit der bösartigen Library entdeckt.

Um festzustellen, ob ein Gerät infiziert ist, sollten Anwender einen Blick auf die App-Dateien werfen. Insbesondere sollten sie im Ordner system/lib nach der Datei libdl.so suchen. Außerdem sollten sie im Ordner /system/bin die svc-Datei dahingehend überprüfen, ob diese die Programmzeile /system/bin/ifconfig enthält.

Und was ist mit den Mitarbeitern? Consumerization als Eisbrecher einsetzen!

Originalartikel von Jamie Haggett (Global Solutions Manager, Trend Micro)

Ich habe in letzter Zeit an vielen Veranstaltungen, Foren, Kundengesprächen und Podiumsdiskussionen zur Consumerization und deren zukünftigem Einfluss auf Unternehmen teilgenommen. Dabei werden immer wieder Fragen gestellt wie „Wie können wir diese Geräte verwalten?“ oder „Wie können wir unsere Daten auf diesen Geräten schützen?“ Die Frage, die ich vermisse, ist „Wie können wir unsere Mitarbeiter schützen?“

Mir scheint, Unternehmen reagieren lediglich darauf, dass Verbraucher diese Geräte in die Unternehmen bringen, statt sich wirklich darauf einzulassen, wie sie behaupten. Um sich wirklich voll auf die Consumerization einzulassen, müssen Unternehmen einen Schutz bereitstellen, der nicht einseitig ist. Bei der Einführung der Consumerization ist ganz entscheidend, dass die Mitarbeiter akzeptieren, dass das Unternehmen zu einem gewissen Maß die Kontrolle über ihre Geräte übernimmt. Sie müssen das Gefühl haben, dass der Schutz in beide Richtungen funktioniert.

„Wie kann ich sicherstellen, dass mein Arbeitgeber nicht auf meine Fotos zugreifen kann?“ „Wie kann ich sicherstellen, dass mein Chef private E-Mails auf meinem Gerät nicht liest oder durchsucht?“ „Wie kann das angehen, dass mein Arbeitgeber alles auf meinem privaten Gerät löschen kann, inkl. meiner privaten Anwendungen und Fotos?“ Diese und ähnliche Fragen werden von Mitarbeitern häufig bei Ideen-Workshops zur Consumerization gestellt.

Der erfolgreichste und empfehlenswerteste Sicherheitsansatz besteht seit jeher darin, den gesamten Mitarbeiterstamm einzubeziehen. Ideen-Workshops zur Consumerization sind ein ideales Mittel, um das Eis zwischen Ihnen und Ihren Mitarbeitern zu brechen und sie in den Planungsprozess einzubeziehen. Gleichzeitig kann das Schulungspersonal über die Bedeutung der Sicherheit informieren. Das gibt Mitarbeitern nicht nur das Gefühl, dass sie eine wichtige Rolle spielen, sondern erleichtert auch die Einführung von Sicherheitsrichtlinien und -technologien, mit denen diese Geräte verwaltet und geschützt werden.

Beziehen Sie also die Anwender in Ihrem Unternehmen mit ein. Sie werden überrascht sein, wie gut das ankommt. Wenn Ihre Mitarbeiter das Gefühl haben, dass sie Bestandteil des Prozesses sind, entsteht eine Loyalität von unschätzbarem Wert. Das Wissen, wie Ihr Unternehmen diese Geräte genau nutzt, kann sehr aufschlussreich sein. Der Faktor Mensch ist das schwächste Glied in jedem Sicherheitsprogramm. Und genau an diesem Punkt müssen Sie ansetzen.