132 schädliche Android-Apps auf Google Play entdeckt

Palo Alto Networks beobachtet Einsatz versteckter IFrames

München, (PresseBox) - Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat 132 Android-Apps auf Google Play entdeckt, die mit kleinen versteckten IFrames infiziert sind. Diese stellen eine Verbindung mit bösartigen Domains über ihre lokalen HTML-Seiten her. Vieles deutet darauf hin, dass die Entwickler dieser infizierten Apps nicht die Akteure, sondern eher Opfer von cyberkriminellen Aktivitäten sind. Höchstwahrscheinlich sind die Entwicklungsplattformen der App-Entwickler zuvor bereits mit Malware infiziert worden. Diese Malware sucht nach HTML-Seiten und injiziert schädliche Inhalte, ohne dass die Entwickler davon etwas mitbekommen.

Die infizierten Apps, die die Forscher beobachteten, enthielten Apps für Dekorationsideen. Was alle Apps gemeinsam hatten, war die Verwendung von Android WebView, um statische HTML-Seiten anzuzeigen. Auf den ersten Blick macht jede Seite nicht mehr als lokal gespeicherte Bilder zu laden und hartcodierten Text anzuzeigen. Allerdings zeigte eine tiefgehende Analyse des HTML-Codes ein kleines verstecktes IFrame, das zu bekannten bösartigen Domains verlinkt. Obwohl die verknüpften Domains zum Zeitpunkt der Untersuchung abgeschaltet waren, ist die Tatsache, dass so viele Apps bei Google Play infiziert sind, bemerkenswert.

Noch bemerkenswerter ist, dass eine der infizierten Seiten auch versucht, eine bösartige ausführbare Windows-Datei herunterzuladen und zu installieren. Da das Android-Gerät aber nicht mit Windows läuft, wird diese nicht ausgeführt. Dieses Verhalten passt gut in die Kategorie der Non-Android-Bedrohungen, die kürzlich von Google Android Security veröffentlicht wurden. Entsprechend der Klassifizierung beziehen sich diese Bedrohungen auf Apps, die dem Benutzer oder Android-Gerät nicht schaden können, aber Komponenten enthalten, die möglicherweise für andere Plattformen schädlich sind.

Alle infizierten Apps sind mit zwei Aktivitäten ausgestattet. Die eine dient dazu, Interstitial-Werbung zu laden, und die andere, um die Haupt-App zu laden. Letztere instanziiert eine Android-WebView-Komponente und zeigt eine lokale HTML-Seite mit Bildern und Text an. Allerdings wurde am Ende jeder HTML-Seite eine kleine versteckte IFrame-Komponente hinzugefügt. Die Forscher von Palo Alto Networks haben zwei Techniken beobachtet, um dieses IFrame zu verbergen. Eine Technik ist, das IFrame winzig zu machen, indem seine Höhe und Breite auf 1 Pixel eingestellt werden. Die andere Technik besteht darin, das Anzeigeattribut in der IFrame-Spezifikation auf „None“ zu setzen. Um die Erkennung durch einfaches String-Matching zu vermeiden, wurden die Quell-URLs zudem mit HTML-Nummerncodes verschleiert.

Die 132 infizierten Apps, die das Forschungsteam von Palo Alto Networks entdeckt hat, gehören zu sieben verschiedenen Entwicklern. Es ist möglich, dass sie eine infizierte IDE (Integrated Development Environment; Integrierte Entwicklungsumgebung) von der gleichen Hosting-Website heruntergeladen haben oder die gleiche infizierte Online-Plattform für die App-Erstellung verwendet haben.

Die infizierten Apps stellen einen neuartigen Weg dar, um Plattformen als „Träger“ für Malware zu nutzen. Dabei soll die Malware unbemerkt auf andere Plattformen verbreitet werden. Ähnlich wie der XcodeGhost-Angriff, den Palo Alto Networks im Jahr 2015 identifiziert hatte, zeigt diese Bedrohung, wie Angriffe auf Entwickler die Endbenutzer beeinträchtigen können. Ein Angreifer könnte die aktuellen bösartigen Domains auf einfache Weise mit Werbe-URLs ersetzen, um Einnahmen zu generieren. Dies schmälert nicht nur die Einnahmen der rechtmäßigen App-Entwickler, sondern kann auch deren Ruf schädigen. Zweitens könnten aggressive Angreifer bösartige Skripte auf dem Remote-Server platzieren und das JavaScriptInterface nutzen, um auf die native Funktionalität der infizierten Apps zuzugreifen. Durch diesen Vektor wären alle Ressourcen innerhalb der App unter der Kontrolle der Angreifer. Sie könnten auch heimlich arbeiten, um den Server des Entwicklers durch ihren eigenen ersetzen. Informationen, die an den Entwickler-Server gesendet wurden, würde nun in die Hände der Angreifer fallen. Fortgeschrittene Angreifer können auch direkt die interne Logik der App ändern, also ein Rooting-Dienstprogramm hinzufügen, zusätzliche Berechtigungen deklarieren oder bösartige APK-Dateien (Android Package) platzieren.

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

Grundlagen der Endpoint Security

End­po­int Pro­tec­ti­on-Lö­sun­gen si­chern die Work­sta­ti­ons und Ser­ver im Netz ge­gen An­grif­fe al­ler Art ab. Sie be­ste­hen üb­li­cher­wei­se ei­ner­seits aus ei­ner zen­tra­len Ver­wal­tungs­kon­so­le, über die die zu­stän­di­gen Mit­ar­bei­ter die Kon­fi­gu­ra­ti­on vor­neh­men, und an­de­rer­seits Agen­ten, die auf den zu si­chern­den Cli­ents lau­fen und dort die Po­li­cies um­set­zen, die im Ma­na­ge­ment-Tool fest­ge­legt wur­den. Se­cu­ri­ty-In­s­i­der zeigt, wel­che Funk­tio­nen ein gu­tes End­po­int Pro­tec­ti­on-Pro­dukt mit­brin­gen soll­te und stellt au­ßer­dem die wich­tigs­ten Her­s­tel­ler in die­sem Be­reich vor.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.