Anzeige

Anzeige

Android Adware

Quelle: mirtmirt / Shutterstock.com

Bei einer beliebten Android-App, dem Barcode Scanner, hat man kürzlich festgestellt, dass sie mit Adware infiziert ist. Nach einem Update Ende 2020 hatte sie ohne Vorwarnung damit begonnen, Werbung an Benutzer zu senden.

Die App zum Scannen von QR-Codes ist seit Jahren fester Bestandteil im Google Play Store und verzeichnet Download-Zahlen von über 10 Millionen. Die Benutzer bewerten die App überwiegend sehr positiv. Was also ist passiert?

Leider nichts, was nicht ziemlich oft passiert. App-Entwickler integrieren häufig Advertising Software Development Kits (SDKs), damit sie Nutzern problemlos Werbung präsentieren können. Besonders wichtig bei ansonsten kostenlosen Apps. Wir konnten bereits in der Vergangenheit Fälle beobachten, bei denen solche SDKs selbst zu aggressiven oder sogar bösartigen Varianten „mutiert“ sind. In diesem konkreten Fall haben die Entwickler des Barcode Scanners den bösartigen Code allerdings absichtlich verschleiert, damit man ihnen nicht auf die Schliche kommt. Die banale Lehre daraus: App-Bedrohungen entwickeln sich kontinuierlich weiter. Hier wurden über ein simples Update Millionen von Geräten mit bösartigem Code infiziert. Glücklicherweise ging es hier „nur“ darum, aggressiv Werbung zu schalten. 

Allerdings braucht man nicht viel Fantasie, um sich auszumalen, was ein deutlich raffinierterer Code hätte anrichten können. Dabei macht es keinen Unterschied, ob als Privatperson oder Geschäftsführer eines Unternehmens- Sie brauchen Transparenz darüber, was genau die verwendeten Apps auf Smartphones, Tablets oder Chromebooks tun.

Kann das prinzipiell mit jeder App passieren? 

Sicherheitsforscher beobachten Phänomene wie das oben beschriebene am häufigsten bei Apps mit bestimmten  Basisfunktionen. Barcode Scanner ist ein QR-Code-Scanner, aber es hätte genauso gut eine Taschenlampen- oder Wallpaper-App sein können. Böswillige Akteure bevorzugen Apps mit einer vergleichsweise einfach strukturierten Codebasis, die sich leicht verändert lässt. Außerdem sind solche Apps meistens ziemlich populär und werden von vielen verwendet. 

Es gibt im Wesentlichen zwei Wege, wie aus einer legitimen eine bösartige App werden kann:

1. Der ursprüngliche App-Entwickler wechselt sozusagen die Seiten und bettet eine Malware in die legitime Anwendung ein. Das kommt bei weitem häufiger vor als man gemeinhin annehmen mag. Ein Beispiel aus dem Jahr 2019 ist BeiTaAd, eingebettet in über 200 Apps mit insgesamt über 440 Millionen Installationen.

2. Die zweite Taktik betrifft tendenziell eher Apps, die von unabhängigen Entwicklern veröffentlicht werden. Nicht selten sind solche Entwickler bereit, ihre Apps für einen fairen Preis zu verkaufen. Und unter den Käufern sind eben auch solche mit weniger edlen Absichten. Potenzielle Angreifer zahlen unter Umständen zusätzlich für das ursprüngliche Entwicklerzertifikat, weitere zugehörige Konten und die Upload-Schlüssel.

Hat der Käufer dann die Anwendung samt Zubehör erworben, kann er problemlos und schnell bösartigen Code implementieren. Zudem verfügt der Angreifer jetzt über Schlüssel, Zertifikate und die mit der App verbundenen Konten. Das heißt, er kann in aller Ruhe ein Update einspielen, ohne dass die Alarmglocken schrillen.

Aus legitim wird bösartig – wie kann man sich vorbereiten? 

Unabhängig davon, ob man Szenario eins oder zwei zugrunde legen will, sollte man im Auge behalten, wie schnell aus einer harmlosen eine bösartige App werden kann. Mobile Geräte sind unverzichtbarer Teil alltäglicher Geschäftsprozesse geworden. Apps werden täglich aktualisiert. Jeder Einzelne und das Unternehmen als Ganzes sollten böswilliges Verhalten als solches erkennen und in Echtzeit Maßnahmen ergreifen können. 

Das klingt allerdings einfacher als es ist und wird schier unmöglich, wenn Firmen ein Bring-Your-Own-Device (BYOD)-Programm umsetzen. Denn dann haben Sie keinerlei Kontrolle oder Transparenz mehr, was sich auf diesen mobilen Geräten befindet. Im Übrigen ist das auch ein gutes Beispiel, wo eine Mobile Device Management (MDM)-Lösung an ihre Grenzen kommt. Wenn Sie die Geräte Ihrer Mitarbeiter an der MDM-Lösung registrieren, haben Sie zwar die Möglichkeit, Apps zu verwalten und Updates einzuspielen. Was Ihnen aber dennoch fehlt, ist ausreichende Transparenz. Nehmen wir an, ein Angreifer hat alle notwendigen Komponenten von einem (legitimen) Entwickler erworben. Dann geht eine MDM-Lösung folglich davon aus, dass die App sicher ist, weil sich augenscheinlich nichts geändert hat.

Wie kann man sich vor den Risiken schützen? 

Perimeter-basierte Sicherheitslösungen sind inzwischen obsolet geworden. Wenn einem Unternehmen oder einem einzelnen Benutzer der Einblick fehlt, aus welchen Komponenten sich eine mobile App zusammensetzt, entsteht ein blinder Fleck. Der betrifft das damit einhergehende konkrete Risiko, die Compliance im Unternehmen und das gesamte Risikoprofil. Das Beispiel Barcode Scanner erinnert uns einmal mehr daran. 

Um sich vor solchen Risiken besser zu schützen, sollte man zwei Empfehlungen beherzigen:

  • Erstens: Die Benutzer über die Folgen aufklären, die Schad-Apps für sie selbst und für das gesamte Unternehmen haben können. Selbst übermäßig vergebene Berechtigungen gefährden potenziell private und geschäftliche Daten.
     
  • Zweitens: Suchen Sie nach einer mobilen Sicherheitslösung, die maschinelles Lernen und Crowd-Sourced-Daten verwendet. Wer in Echtzeit darüber Bescheid wissen will, welches Risiko die verwendeten Apps darstellen, der kann nicht erst Unmengen von Inhalten scannen. 
Hank Schless, Senior Manager, Security Solutions
Hank Schless
Senior Manager, Security Solutions, Lookout

Artikel zu diesem Thema

Malware
Jan 07, 2021

Schadsoftware landet zunehmend auf Smartphones

Das Smartphone findet privat wie beruflich immer häufiger Einsatz. In der Corona-Pandemie…
Junger Mann mit Smartphone und Kaffeetasse
Okt 20, 2020

Mobile Apps: Sicherheitsanforderungen und -risiken verstehen

Der Trend zu mobilen Anwendungen ist ungebrochen. Wenn man den Produktpräsentationen der…
BYOD
Jul 21, 2020

BYOD-Sicherheitsmaßnahmen sind oft unzureichend

Cloud-Sicherheitsanbieter Bitglass hat seinen BYOD Report 2020 veröffentlicht, in dem die…

Weitere Artikel

Mobile Security

Sicher ist sicher: So muss mobile Kommunikation verschlüsselt werden

Wenn Mitarbeiter über Smartphone und Tablet E-Mails verschicken, Nachrichten austauschen oder Dateien ins Intranet hochladen, spielt Verschlüsselung eine wichtige Rolle. Virtual Solution erklärt, welche Verfahren höchsten Sicherheitsanforderungen gerecht…
Update

LastPass Authenticator Update

LogMeIn Inc. gab das Update der LastPass Authenticator Mobile App bekannt. Die neue Integration von Top-VPN (Virtual Private Network)-Anbietern wie Cisco, Palo Alto Networks und OpenVPN sowie weitere neue Funktionen für Admins sorgen für eine verbesserte MFA.
Luca-App

Luca-App: Ist die digitale Nachverfolgung von Kontakten – sicher?

Die Luca-App soll die Nachverfolgung von Corona-Kontakten in Einkaufszentren, Gastronomie oder Privatfeiern vereinfachen. Rund sechs Millionen Mal wurde sie bislang heruntergeladen. Bei der Nutzung ist jedoch einiges zu beachten.
WhatsApp

Chaos um neue WhatsApp-Nutzungsbedingungen

Der Countdown lief ein zweites Mal und es galt: Wer WhatsApp weiterhin nutzen will, hätte bis zum 15. Mai 2021 den neuen Nutzungsbedingungen zustimmen müssen, andernfalls würde der MessengerDienst nach und nach unbrauchbar.
Hacker Smartphone

So können Smartphones leicht gehackt werden

Die Deutschen schauen auf ihr smartphone 50 bis 80 Mal am Tag, abhängig von der altersgruppe und der durchgeführten Befragung. Daniel Markuson, Experte für digitale Privatsphäre gibt 5 Tipps, wie das mobile Gerät vor Unbefugtem Zugriff geschützt werden kann.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.