Bitsight, US-Anbieter von IT-Sicherheits-Ratings, hat über seine Sinkhole-Infrastruktur eine potenzielle Schwachstelle in einem Software Development Kit (SDK) für Android entdeckt. Das Mobile-Advertising-SDK namens "Arrkii" enthält laut dem Bostoner Unternehmen Merkmale einer potenziell unerwünschten Anwendung (Potentially Unwanted Application, PUA).
Bereits im März 2019 hatte das israelische Security-Unternehmen Check Point eine ähnliche Schwachstelle entdeckt, wie ZDNet berichtete. Im Advertising-Kit "RXDrioder" versteckten die Übeltäter eine Malware namens "SimBad". Die erlaubt es, aus der Ferne die Kontrolle über das in die Apps integrierte SDK zu übernehmen und Werbeanzeigen zu manipulieren. Laut Check Point kam das schädliche Kit bei 210 Apps im Google Play Store zum Einsatz, die insgesamt über 150 Millionen Mal heruntergeladen wurden. Die damals betroffenen Apps wurden mittlerweile von Google geprüft und aus dem Shop gelöscht.
200.000 infizierte Geräte in Deutschland
Bitsight hat laut eigenen Angaben insgesamt 15 Millionen infizierte Geräte weltweit identifiziert. Rund 6.000 Unternehmen seien von den mit Schadcode befallenen Geräten betroffen. Die überwiegende Mehrheit der infizierten Geräte befindet sich in Indien. In Deutschland wurden knapp 200.000 Geräte gezählt.
"Schon die Existenz von Malware oder einfach nur potenziell unerwünschten Anwendungen in einem Unternehmen ist streng genommen ein Breach", kommentierte ein Bitsight-Sprecher. Es sei ein Indikator dafür, dass Sicherheitskontrollen in einem Unternehmen versagt hätten. Auf der anderen Seite sei davon auszugehen, dass die meisten Entwickler, die diese SDKs integrieren, keine bösartigen Absichten verfolgen, sondern einfach versuchen, ihre Arbeit bestmöglich zu monetarisieren.
Auf Arrkii und damit jede App, die es enthält, soll die Definition von Google Play von bösartigem Verhalten zutreffen. Das Sicherheitsteam, das das SDK untersucht hat, nennt folgende Funktionen, die als missbräuchlich oder riskant eingeschätzt werden:
Missbräuchliches User-Tracking: Arrkii sammelt eindeutige Seriennummer (IMEI), MAC-Adresse und andere gerätebezogene Informationen.
Missbrauch von Ressourcen: Arrkii nutzt Anzeigen in missbräuchlicher Weise, führt Werbebetrug durch, indem es selbstständig (ohne Benutzerinteraktion) auf Anzeigen klickt, und installiert Apps im Hintergrund und ohne Benutzerzustimmung.
Verschleiert sein Verhalten: Einige Versionen des SDK laden versteckten/verschlüsselten Code (Encryption und Java Reflection).
Mechanismus zur Selbstaktualisierung: Das SDK aktualisiert sich selbst, ohne dass der neue Code über den Google Play Store bezogen wird.
Um sich vor solchen Bedrohungen zu schützen, rät BitSight Unternehmen zu folgenden Maßnahmen:
Eine Mobile-Device-Management (MDM)-Lösung für die mobilen Geräte einführen.
MDM-Policies aufstellen, die den Netzwerkzugriff für Geräte zu deaktivieren, die:
nicht ins MDM integriert sind;
gerootet sind oder ein veraltetes Betriebssystem haben;
Application Sideloading erlauben oder App Stores von Drittanbietern installiert haben.
Schulungseinheiten und Material zur sicheren Nutzung mobiler Geräte in das Security Awareness Training integrieren.
Bitsight beobachtete nur einige Versionen des SDK via Sinkholing. Es sei daher wahrscheinlich, dass andere Versionen des SDKs in weiteren Apps vorhanden sind und eine größere Anzahl von Geräten infiziert ist.
Hintergrund
Was ist ein Mobile Advertising SDK?
Ein Software Development Kit ist ein Software-Paket, das Programmcodes, Schnittstellen und häufig auch Programmieranleitungen zur Verfügung stellt. Im speziellen Fall von Mobile Advertising SDKs integrieren App-Entwickler es in ihre App, um sie zu monetarisieren. Damit wird den Nutzern der App Werbung angezeigt und die Entwickler werden an den Werbeeinnahmen beteiligt. Dabei übernimmt das SDK die Verbindung zu Werbeanbietern und die Einblendung von Anzeigen für die Benutzer.
Was ist eine potenziell unerwünschte Anwendung?
Potenziell unerwünschten Anwendung (PUAs) sind Anwendungen, die vom Nutzer möglicherweise als unerwünscht empfunden werden. Security-Lösungen und Produkte zur Kindersicherung verwenden es als subjektives Kennzeichnungskriterium für Software, die das Datenschutz- oder Sicherheitsniveau eines Computers verringern und ihn so anfälliger für Cyberattacken macht. Adware, Spyware oder Software, die Root-Zertifikate auf einem Endgerät installiert, fallen in der Regel unter PUAs.
Was ist Sinkholing?
Sinkholing (von Englischen "Sinkhole", trichterförmige Senke) beschreibt die Manipulation des Datenflusses in einem Netzwerk. Dr Traffic wird dabei von seinem ursprünglichen Ziel auf einen beliebigen Server umgeleitet. Die Technik kann zwar auch von Angreifern verwendet werden, um legitimen Traffic zu unterbrechen, jedoch nutzen viele Security-Profis die Methode, um Attacken zu untersuchen und abzuwehren.
Sendet Malware an ihren Heimatserver, können die Anfragen auf diese Domain unterbrochen und auf das Sinkhole umgeleitet werden. Dadurch lässt sich die Aktivität der Malware beobachten oder die Kommunikation mit dem Server ganz unterbinden.
Was ist Sideloading?
Beim Sideloading wird auf einem mobilen Gerät eine Anwendung nicht über die offizielle Methode der Anwendungs-Verteilung (Apple App Store für iOS-Geräte, Google Play Store für Android-Geräte) installiert. Zwar erlaubt das den Nutzern Zugriff auf mehr Apps als über die kommerziellen Plattformen, allerdings macht es das Gerät anfälliger für Malware.