Kommentar

Android-Schadsoftware nutzt Entwicklertools als Masterkey

Android
Bildquelle: vfhnb12 / Shutterstock.com

Ein neues Varianten-Upgrade einer Android-Schadsoftware nutzt eine Entwicklerfunktion, welche kaum ein Nutzer kennt. Diese Schadsoftware übernimmt leise die volle Kontrolle über infizierte Geräte und plündert Bankkonten.

Die Rückkehr von RedHook zeigt, wie wenig moderne Angreifer eine klassische Schwachstelle benötigen, wenn die Entwicklertools des Geräts selbst die Schlüssel liefern. Indem die Malware das Opfer dazu bringt, die Zugriffsberechtigungen zu aktivieren und anschließend im Hintergrund die Wireless Android Debug Bridge (ADB) einschaltet, erlangt sie Rechte auf Shell-Ebene, ohne jemals eine Sicherheitslücke auszunutzen. Ab diesem Zeitpunkt sind Bankzugangsdaten fast nebensächlich, denn die Angreifer kontrollieren die Sitzung, die Tastatureingaben und den Bildschirm.

Anzeige

Die bisher beobachteten Angriffskampagnen konzentrieren sich auf Vietnam und Indonesien, doch die Methode selbst ist nicht regional begrenzt. Sie nutzt Funktionen, die auf jedem Android-Gerät vorhanden sind und keine Schwachstelle, die spezifisch für eine bestimmte Bank oder einen bestimmten Markt ausgerichtet ist. Methoden, die sich in einer Region als wirksam erweisen, bleiben selten auf diesen beschränkt. Das hat die Historie der Mobile-Banking-Malware immer wieder gezeigt.

Allerdings reicht diese Angriffskampagne über persönliche Banking-Apps hinaus. Jede Organisation, die nicht verwaltete Privatgeräte zulässt und diesen Zugriff auf Unternehmenssysteme erlaubt, ist denselben Mechanismen ausgesetzt. Eine Kompromittierung eines Geräts endet nicht an der Login-Oberfläche einer einzelnen App. Sie erfasst alle Sitzungstokens, Anmeldedaten sowie nicht autorisierte Zugriffe, die zu diesem Zeitpunkt auf dem Gerät vorhanden sind.

Zwar schützt eine Multi-Faktor-Authentifizierung (MFA) bei einer Anmeldung. Sie ist jedoch wirkungslos, sobald ein Angreifer das Gerät übernommen hat. Deshalb muss die Identitätssicherheit über die Anmeldedaten hinausgehen. Nötig ist eine kontinuierliche Überprüfung von Sitzungen und Endpunkten bei jeder Zugriffsanforderung, sei sie menschlich oder automatisiert.

Anzeige

Die Persistenztechniken von RedHook – darunter die Dienste, die den Prozess wiederbeleben, die Wake-Locks, die unsichtbare Aktivität im Vordergrund – spiegeln allesamt ein durchdachtes Designziel wider: lange genug im System zu verbleiben, um den Zugriff optimal zu nutzen. Die Geschwindigkeit der Erkennung ist die Variable, die darüber entscheidet, wie viel Schaden angerichtet wird. Viele Unternehmen sind in diesem Zusammenhang immer noch langsamer als die Angreifer.

Unternehmen, die noch nicht überprüft haben, welche privaten Geräte Zugriff auf ihre Unternehmenssysteme haben, oder die die Multi-Faktor-Authentifizierung (MFA) eher als letzte Verteidigungslinie denn als erste betrachten, hinken bereits hinterher. Das Prinzip ist einfach: Die Überprüfung muss kontinuierlich erfolgen und nicht nur am Eingang.

Shane Barney

Shane

Barney

Chief Information Security Officer

Keeper Security

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.