Ein Sicherheitsforscher hat eine Proof-of-Concept-App für Android geschrieben, die Dritten eine Fernsteuerung des Geräts ermöglicht. Die Anwendung fragt Nutzer bei der Installation nicht um Erlaubnis, gibt Hackern aber Zugriff.
Die App nutzt eine bekanntes Problem in Androids Websuche aus, um einen Zweiwege-Kommunikationskanal mit einem Dritten aufzubauen, wie Thomas Cannon, Direktor für Forschung und Entwicklung von ViaForensics, im Gespräch mit ZDNet erklärt. „Allein kann dieser Angriff jede Information auf der SD-Karte auslesen, ebenso wie Daten, die mit anderen Apps geteilt werden, oder auch limitierte Informationen über das Gerät. Kombiniert mit anderen Schwachstellen, lässt er sich ausbauen – etwa später ein Root-Exploit herunterladen und die volle Kontrolle über das Gerät übernehmen.“
Eine weitere mögliche Aktion der Malware sei das Versenden teurer Premium-SMS, sagte Cannon. Google hat seit Anfang Dezember insgesamt 27 betrügerische Apps aus dem Android Market entfernt, die dazu in der Lage waren. Entdeckt hatte sie das Sicherheitsunternehmen Lookout.
Wenn ein Nutzer eine Android-App herunterlädt, fordert sein Gerät ihn im Normalfall auf, der Anwendung Zugriff auf die für den Betrieb nötigen Funktionen zu geben – etwa Standort, Gerätespeicher oder Kamera. So wird der Anwender schneller auf betrügerische Programme aufmerksam.
Ist Cannons Proof-of-Concept-App erst heruntergeladen, öffnet sie einen Kommunikationskanal, indem sie den Webbrowser startet, sobald der Bildschirm des Geräts gesperrt ist. Es öffnet sich eine Shell, die einen halb verborgenen Zugriff erlaubt, wie der Sicherheitsforscher gegenüber ZDNet erkärte. „Der Proof-of-Concept ist deswegen nicht komplett verborgen, weil der Webbrowser während des Angriffs im Vordergrund laufen muss. Ist dieser vorüber, kann man alles wieder so aussehen lassen, als sei nichts gewesen.“ Technisch bleiben demnach aber Spuren der Attacke zurück, die der Nutzer finden kann, wenn er danach sucht.
Nach eigenen Angaben hat Cannon den Exploit mit allen Android-Versionen getestet – von 1.5 Cupcake bis 4.0 Ice Cream Sandwich – und er funktioniert auf allen Plattformen ähnlich. Dabei nutzt er eine Funktion von Android aus. „Die App verwendet keine Sicherheitslücke als solche; sie ruft den Browser auf und gibt die Server-URL des Angreifers weiter“, erläutert Cannon. „Nur, dass die URL die Daten enthält, die der Angreifer haben will.“
Der Browser wird demnach an ein maßgeschneidertes URL-System weiterverwiesen, das die Anwendung registriert hat (etwa myapp://host/some+data). Dieses kommuniziert mit der Anwendung und gibt die Daten aus der URL weiter. Cannon: „So wird die Zweiwege-Verbindung geschaffen.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…