132 schädliche Android-Apps auf Google Play entdeckt

Palo Alto Networks beobachtet Einsatz versteckter IFrames

München, (PresseBox) - Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat 132 Android-Apps auf Google Play entdeckt, die mit kleinen versteckten IFrames infiziert sind. Diese stellen eine Verbindung mit bösartigen Domains über ihre lokalen HTML-Seiten her. Vieles deutet darauf hin, dass die Entwickler dieser infizierten Apps nicht die Akteure, sondern eher Opfer von cyberkriminellen Aktivitäten sind. Höchstwahrscheinlich sind die Entwicklungsplattformen der App-Entwickler zuvor bereits mit Malware infiziert worden. Diese Malware sucht nach HTML-Seiten und injiziert schädliche Inhalte, ohne dass die Entwickler davon etwas mitbekommen.

Die infizierten Apps, die die Forscher beobachteten, enthielten Apps für Dekorationsideen. Was alle Apps gemeinsam hatten, war die Verwendung von Android WebView, um statische HTML-Seiten anzuzeigen. Auf den ersten Blick macht jede Seite nicht mehr als lokal gespeicherte Bilder zu laden und hartcodierten Text anzuzeigen. Allerdings zeigte eine tiefgehende Analyse des HTML-Codes ein kleines verstecktes IFrame, das zu bekannten bösartigen Domains verlinkt. Obwohl die verknüpften Domains zum Zeitpunkt der Untersuchung abgeschaltet waren, ist die Tatsache, dass so viele Apps bei Google Play infiziert sind, bemerkenswert.

Noch bemerkenswerter ist, dass eine der infizierten Seiten auch versucht, eine bösartige ausführbare Windows-Datei herunterzuladen und zu installieren. Da das Android-Gerät aber nicht mit Windows läuft, wird diese nicht ausgeführt. Dieses Verhalten passt gut in die Kategorie der Non-Android-Bedrohungen, die kürzlich von Google Android Security veröffentlicht wurden. Entsprechend der Klassifizierung beziehen sich diese Bedrohungen auf Apps, die dem Benutzer oder Android-Gerät nicht schaden können, aber Komponenten enthalten, die möglicherweise für andere Plattformen schädlich sind.

Alle infizierten Apps sind mit zwei Aktivitäten ausgestattet. Die eine dient dazu, Interstitial-Werbung zu laden, und die andere, um die Haupt-App zu laden. Letztere instanziiert eine Android-WebView-Komponente und zeigt eine lokale HTML-Seite mit Bildern und Text an. Allerdings wurde am Ende jeder HTML-Seite eine kleine versteckte IFrame-Komponente hinzugefügt. Die Forscher von Palo Alto Networks haben zwei Techniken beobachtet, um dieses IFrame zu verbergen. Eine Technik ist, das IFrame winzig zu machen, indem seine Höhe und Breite auf 1 Pixel eingestellt werden. Die andere Technik besteht darin, das Anzeigeattribut in der IFrame-Spezifikation auf „None“ zu setzen. Um die Erkennung durch einfaches String-Matching zu vermeiden, wurden die Quell-URLs zudem mit HTML-Nummerncodes verschleiert.

Die 132 infizierten Apps, die das Forschungsteam von Palo Alto Networks entdeckt hat, gehören zu sieben verschiedenen Entwicklern. Es ist möglich, dass sie eine infizierte IDE (Integrated Development Environment; Integrierte Entwicklungsumgebung) von der gleichen Hosting-Website heruntergeladen haben oder die gleiche infizierte Online-Plattform für die App-Erstellung verwendet haben.

Die infizierten Apps stellen einen neuartigen Weg dar, um Plattformen als „Träger“ für Malware zu nutzen. Dabei soll die Malware unbemerkt auf andere Plattformen verbreitet werden. Ähnlich wie der XcodeGhost-Angriff, den Palo Alto Networks im Jahr 2015 identifiziert hatte, zeigt diese Bedrohung, wie Angriffe auf Entwickler die Endbenutzer beeinträchtigen können. Ein Angreifer könnte die aktuellen bösartigen Domains auf einfache Weise mit Werbe-URLs ersetzen, um Einnahmen zu generieren. Dies schmälert nicht nur die Einnahmen der rechtmäßigen App-Entwickler, sondern kann auch deren Ruf schädigen. Zweitens könnten aggressive Angreifer bösartige Skripte auf dem Remote-Server platzieren und das JavaScriptInterface nutzen, um auf die native Funktionalität der infizierten Apps zuzugreifen. Durch diesen Vektor wären alle Ressourcen innerhalb der App unter der Kontrolle der Angreifer. Sie könnten auch heimlich arbeiten, um den Server des Entwicklers durch ihren eigenen ersetzen. Informationen, die an den Entwickler-Server gesendet wurden, würde nun in die Hände der Angreifer fallen. Fortgeschrittene Angreifer können auch direkt die interne Logik der App ändern, also ein Rooting-Dienstprogramm hinzufügen, zusätzliche Berechtigungen deklarieren oder bösartige APK-Dateien (Android Package) platzieren.

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

Was Sie jetzt über die DSGVO wissen müssen

2018 wird es ernst, am 25. Mai en­det die Über­gangs­frist für die Eu­ro­päi­sche Da­ten­schutz­grund­ver­ord­nung (EU-DSG­VO). Da­mit wer­den die Da­ten­schutz­re­geln für Un­ter­neh­men und Be­hör­den deut­lich st­ren­ger. Vie­le bis­he­ri­ge Da­ten­schutz­maß­nah­men müs­sen hin­ter­fragt, ak­tua­li­siert oder er­wei­tert wer­den. Die Zeit läuft. Vie­le Un­ter­neh­men lau­fen hin­ter­her.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.