Neuer Google-Android-Trojaner missbraucht DroidPlugin-Framework
Palo Alto Networks entdeckt PluginPhantom
München, den 14. Dezember 2016 – Das Malware-Analyseteam von Palo Alto Networks, Unit 42, hat einen neuen Google-Android-Trojaner namens „PluginPhantom“ entdeckt, der viele Arten von Benutzerinformationen stiehlt, darunter Dateien, Standortdaten, Kontakte und WLAN-Daten. Es nimmt auch Fotos auf, erstellt Screenshots, zeichnet Gespräche auf und fängt SMS ab oder versendet SMS. Darüber hinaus kann es die Tastatureingaben erfassen und agiert damit als Keylogger.
PluginPhantom ist eine neue Klasse von Google-Android-Trojanern: Es ist das erste, das Aktualisierung einsetzt, um die statische Erkennung zu vermeiden. Dies erfolgt durch die Nutzung der Android-Plugin-Technologie. Es missbraucht das legitime und beliebte Open-Source-Framework DroidPlugin, mit dem eine App dynamisch alle Apps als Plugins starten kann, ohne sie im System zu installieren. PluginPhantom implementiert jedes Element der schädlichen Funktionalität als Plugin und nutzt eine Host-App, um die Plugins zu steuern.
Mit der neuen Architektur erreicht PluginPhantom mehr Flexibilität, um seine Module zu aktualisieren, ohne Apps erneut installieren zu müssen. PluginPhantom kann auch die statische Erkennung vermeiden, indem es bösartiges Verhalten in Plugins verbergen kann. Da das Plugin-Entwicklungsmuster generisch ist und sich das Plugin-SDK einfach einbetten lässt, könnte die Plugin-Architektur ein Trend für die Android-Malware in der Zukunft sein. Mittels des jeweiligen Plugins kann PluginPhantom verschiedene Informationen stehlen:
1. Datei-Plugin
Das Datei-Plugin durchsucht ein bestimmtes Verzeichnis und ruft Informationen aus den darin enthaltenen Dateien ab (z.B. Dateiname, Dateityp, Dateigröße, Erstellungszeit, Bearbeitungszeit, Dateipfad etc.). Es scannt auch Mediendateien im externen Speicher und kann bestimmte Dateien herunterladen und löschen. Während des Dateiverfahrens wird das Root-Privileg durch das Plug-In für die Datei verwendet. In vorhandenen Samples versucht PluginPhantom, das Root-Privileg zu verwenden, aber rootet nicht das Gerät. Wenn der Angreifer Root-Zugriff auf dem Gerät wünscht, könnte er den C2-Kanal verwenden, um ein APK zu installieren, das eine nicht gepatchte lokale Root-Schwachstelle ausnutzt. Unit 42 hat dies bei PluginPhantom-Infektionen aber noch nicht beobachtet.
2. Standort-Plugin
Das Standort- oder Lokalisierungs-Plugin erfasst sowohl detaillierte als auch gröbere Ortsinformationen. Es konvertiert Koordinaten im Android-Standard-Geokoordinatensystem zu Koordinaten in zwei anderen Koordinatensystemen, die von Baidu Maps und Amap Maps, den beiden Top-Navigations-Apps in China, verwendet werden. Um den Standort zu erhalten, kann das Plugin Optionen für WLAN, GPS (Versionen unter Android 4.4) und mobile Daten (Android 5.0 oder frühere Versionen) aktivieren.
3. Kontakte-Plugin
Das Kontakte-Plugin fängt eingehende SMS und Telefonanrufe für bestimmte Nummern ab, die vom Remote-Server empfangen werden. Um die Erkennung zu vermeiden, schaltet es den Klingelton- und Telefonbildschirm aus und löscht Anrufprotokolle, wenn SMS und Telefonanrufe eingehen. Das Kontakte-Plugin stiehlt auch Anrufprotokolle, Geräte-IDs und Kontakteinformationen (einschließlich gelöschter Kontakte) in der Kontaktliste des Geräts und der SIM-Karte. Darüber hinaus sendet es SMS-Nachrichten an bestimmte Nummern.
4. Kamera-Plugin
Das Kamera-Plugin nimmt Bilder entweder mit der vorderen oder hinteren Kamera auf, ohne dass die Opfer dies bemerken. Es erstellt auch Screenshots mit dem Befehl „screencap–p“, wenn es Root-Berechtigungen auf dem Gerät erhalten hat.
5. Radio-Plugin
Das Radio-Plugin zeichnet das Audiosignal im Hintergrund unter zwei Trigger-Bedingungen auf: Befehle vom Remote-Server und eingehende/ausgehende Telefongespräche. Um eine Erkennung zu vermeiden, werden keine Audiodateien aufgenommen, wenn andere Anwendungen ebenfalls aufzeichnen.
6. WLAN-Plugin
Das WLAN-Plugin stiehlt WLAN-Daten (z.B. SSID, Passwort, IP-Adresse, Mac-Adresse), Softwareinformationen (z.B. App-Name, Version, letzte Updatezeit, Systemapplikation), laufende Prozessinformationen (z.B. PID, App-Ressourcenpfad, App-Datenpfad, Zeitstempel) und Trace-Informationen (z.B. Browser-Besuchsverlauf und Lesezeichen).
Die Android-Plugin-Technologie, die angesagt ist in der Android-App-Entwicklung, bietet auch eine Chance für Malware-Entwickler, um Malware in einer flexibleren Weise zu gestalten. Wie die PluginPhantom-Familie, kann somit auch Malware leicht aktualisiert oder mit Modulen ergänzt werden, durch die Aktualisierung oder Installation von Plugin-Anwendungen. Die Plugin-Malware kann schädliches Verhalten verbergen, um statische Erkennung zu umgehen. Darüber hinaus könnte die Plugin-Technologie zukünftig ein Ersatz für die Repackage-Technik sein. Die Plugin-Malware muss nur die ursprüngliche App als ein Plugin starten, um später böswillige Module als andere Plugins zu aktivieren. Obwohl das PluginPhantom die erste Malware ist, die das legitime DroidPlugin-Framework verwendet, werden die Forscher von Unit 42 diese Bedrohung weiterhin beobachten und darüber berichten. Angreifer könnten auch andere Plugin-Frameworks verwenden und weitere Angriffe starten.