Aggressive Android-Adware

Missbrauch von Android Plugin Frameworks durch Cyberkriminelle

Missbrauch von Android Plugin Frameworks durch Cyberkriminelle

Palo Alto Networks entdeckt neue Entwicklung bei Android-Adware

München, den 23. März 2017- Die Forschungsabteilung von Palo Alto Networks, Unit 42, meldet eine neue Form aggressiver Adware. Es ist üblich bei legalen mobilen Apps, Werbe-SDKs einzubetten oder andere Apps zu bewerben. Durch Werbung für andere Apps können legale App-Entwickler Einnahmen generieren. Allerdings beobachtet Unit 42 seit kurzem einen alarmierenden Trend in den Mobile-Ad-Communities: So sind einige im Google Play Store gelisteten Adware-Programme aggressiver geworden, indem sie das Drittanbieter-DroidPlugin-Framework auf Android missbrauchen.

Plugin-Technologie wurde ursprünglich von Drittanbietern eingeführt, um neue Fähigkeiten für Android hinzuzufügen. Zum Beispiel ermöglicht „Parallel Space“ einem Benutzer, zwei Twitter-Apps auf einem Telefon auszuführen. Plugin-Technologie kann auch die Geschwindigkeit beim Hot-Patching verbessern. Leider können die Erweiterungen und Fähigkeiten, die die Plugin-Technologie bietet, auch für böswillige Zwecke verwendet werden. Malware-Autoren haben legitime Plugin-Technologie missbraucht, etwa um Antimalware-Technologie auf Geräten zu umgehen, insbesondere statische Scanner.

Die Malware-Forschung hat zuvor schon herausgefunden, dass die beliebtesten Open-Source-Plugin-Frameworks DroidPlugin und VirtualApp missbraucht werden. Beide Frameworks können beliebige Android-Apps starten, theoretisch ohne dass sie am Telefon installiert werden. Technisch gesehen ist die Android-Plugin-Technologie eine Virtualisierungsumgebung auf Anwendungsebene.

Die Forscher von Palo Alto Networks haben vor kurzem jedoch herausgefunden, wie die Android-Plugin-Funktionalität auf innovative Weise genutzt werden kann, um Apps durch Adware zu bewerben. Eine Plugin-fähige App hat die Möglichkeit, verschiedene Apps automatisch zu starten, ohne sie zu installieren. Diese stellt eine Verknüpfung für die Adware dar, um Einnahmen aus Werbenetzwerken zu generieren, da die beworbene App ohne jegliche Benutzerinteraktion gestartet werden kann.

Diese Art von App-Werbung kann jedoch aufgrund der vergleichsweise schwachen Sicherheitsmechanismen, die in aktuellen Plugin-Frameworks verwendet werden, Sicherheitsrisiken hinterlassen. Den Plugin-Frameworks fehlt die Fähigkeit, Berechtigungen zu trennen und Daten zwischen verschiedenen Plugin-Instanzen zu isolieren. Wenn also eine beworbene App über das Plugin-Framework ausgeführt wird, hat sie dieselben Berechtigungen wie die Host-App (normalerweise alle Android-Berechtigungen) und kann auf die Daten der Host-App oder anderer Plugin-Apps zugreifen. Dies verletzt einen wichtigen Aspekt der Android Application Sandbox, die App-Daten des Benutzers und die Code-Ausführung von anderen Apps isoliert.

Legitime Apps, die eigentlich immer in ihrer eigenen Application Sandbox laufen sollten, sind jetzt gefährdet, weil es nicht vorhersehbar ist, ob die App in einer Plugin-Umgebung gestartet wird. Beispielsweise hat Palo Alto Networks in Google Play beobachtet, dass 32 Apps das DroidPlugin-Framework und 21 Apps das VirtualApp-Framework verwenden. Die meisten davon sind PUPs (Potentially Unwanted Programs) oder Adware, die aus Google Play entfernt wurden.

Die folgenden Beispiele zeigen, wie zwei Adware-Familien die Plugin-Technologie im neuen App-Promotion-Stil missbrauchen.

Beispiel 1 – automatisierte und aggressive App-Bewerbung: Im September 2016 machten die Entwickler einer App namens „Clean Doctor“ (Paketname: „com.nianclub.cleandoctor“) die Version 1.2.0 aggressiver. Diese Adware missbraucht das VirtualApp-Framework.

Beispiel 2 – multiple App-Bewerbung: Ende Januar 2017 stellte Unit 42 fest, dass Entwickler der Adware-App „bloodpressure“ in Google Play (Paketname: „com.blood.pressure.bost“) diese aggressiver gemacht hatten, indem sie die Android-Plugin-Technologie missbrauchten. Diese Adware startet automatisch eine separate App, um Werbung für mehrere Apps auf einmal anzuzeigen.

Fazit:

Die Android-Plugin-Technologie macht es möglich, dass Adware-Autoren auf eine neue Art und Weise finanziellen Gewinn generieren. Diese Art von Missbrauch ist schädlich sowohl für Werbenetzwerke als auch Android-Nutzer. Palo Alto Networks hofft, dass die Mobile-App-Entwickler-Community und die Security-Community zusammenarbeiten werden, um die Sicherheitsprobleme in der Android-Plugin-Technologie zu lösen. Android-Nutzer sollten erfahren, dass die privaten Daten ihrer Plugin-Apps und ihre Geräte sehr gefährdet sind, wenn sie im Android-Plugin-Umfeld operieren.

Newsletter Anmeldung

Erhalten Sie immer die aktuellsten IT-Security News - Von Profis, für Profis.