Trojaner-Malware infiziert 17 Apps im App Store

Das in dieser Gruppe von Apps entdeckte Clicker Trojaner-Modul soll Aufgaben im Zusammenhang mit Anzeigenbetrug im Hintergrund ausführen, wie ständig Webseiten zu öffnen oder Links ohne Benutzerinteraktion anzuklicken.

Das Ziel der meisten Clicker-Trojaner ist, dem Angreifer Einnahmen auf Pay-per-Click-Basis zu verschaffen, indem sie den Website-Traffic in die Höhe treiben. Sie können auch dazu genutzt werden, das Budget eines Mitbewerbers zu schmälern, indem der dem Werbenetz geschuldete Betrag künstlich aufgebläht wird.

Da diese Apps mit dem Clicker Trojaner-Modul infiziert sind, fallen sie in die Trojaner-Kategorie von Wanderas Malware-Klassifizierung.

Warum wir dies als Malware einstufen

Der Clicker-Trojaner ist eine wohlbekannte Klasse von Malware, die Anzeigenbetrug betreibt, indem sie häufige Verbindungen zu Anzeigennetzwerken oder Websites hergestellt, um die Besucheranzahl künstlich zu steigern oder Einnahmen auf einer Pay-per-Click-Basis zu generieren.

Diese Klassifizierung entspricht der von anderen Unternehmen in der Sicherheitsbranche, wie z. B. Malwarebytes und F-Secure.

Über die infizierten Apps

Die Gruppe von 17 infizierten Apps umfasst eine zufällige Auswahl von Anwendungskategorien, darunter Produktivität, Plattform-Dienstprogramme und Reisen. Die vollständige Liste der infizierten Anwendungen finden Sie unten:

• EMI Calculator & Loan Planner

• EMI Calculator & Loan Planner

• File Manager – Documents

• Smart GPS Speedometer

• CrickOne – Live Cricket Scores

• Daily Fitness – Yoga Poses

• FM Radio – Internet Radio

• My Train Info – IRCTC & PNR (nicht im Entwicklerprofil aufgelistet)

• Around Me Place Finder

• Easy Contacts Backup Manager

• Ramadan Times 2019

• Restaurant Finder – Find Food

• BMI Calculator – BMR Calc

• Dual Accounts

• Video Editor – Mute Video

• Islamic World – Qibla

• Smart Video Compressor

Alle 17 infizierten Apps wurden in den App Stores verschiedener Länder von demselben Entwickler veröffentlicht, dem in Indien ansässigen AppAspect Technologies Pvt. Ltd.

Zum Zeitpunkt der Recherche hat dieser Entwickler 51 Apps im App Store veröffentlich (es gibt allerdings eine infizierte App im App Store, die nicht im Entwicklerprofil erscheint – My Train Info).

Wir haben alle die kostenlosen iTunes Anwendungen des Entwicklers getestet, und die Ergebnisse zeigen, dass 17 von 35 kostenlosen Apps alle mit derselben bösartigen Clicker-Funktion infiziert sind und mit demselben C&C-Server kommunizieren.

Dieser C&C Server wurde erstmals von Dr. Web als Teil einer sehr ähnlichen Clicker-Trojanerkampagne auf Android gemeldet.

Über den C&C-Server

Laut Untersuchung von Dr. Web diente der C&C-Server dazu, Befehle an die infizierten Apps zu übermitteln, die gezielte Werbung auslösen, das stille Laden von Websites und Fernkonfigurationen auf dem Gerät auslösen konnten. In einem Beispiel ging es um Nutzer, die nach der Installation einer infizierten App betrügerisch Abos von teuren Content-Services erhielten.

Die von Wandera identifizierten Apps kommunizieren mit demselben C&C-Server unter Verwendung eines starken Verschlüsselungscodes, welche die Forscher noch nicht geknackt haben. Laut dem Bericht von Dr. Web sammelten Android-Apps, die mit demselben Server kommunizieren, private Informationen vom Gerät des Benutzers, wie die Marke und das Modell des Geräts, das Aufenthaltsland des Benutzers und verschiedene Konfigurationsdetails.

Die potenziellen Auswirkungen der C&C-Infrastruktur in einer App

Command & Control ermöglicht es böswilligen Apps, Sicherheitsüberprüfungen zu umgehen, da es einen direkten Kommunikationskanal mit dem Angreifer aktiviert, der für Apple nicht sichtbar ist. Über C&C-Kanäle können Anzeigen (wie die des iOS-Clicker-Trojaners), Befehle und sogar Nutzdaten (z. B. eine beschädigte Bilddatei, ein Dokument usw.) verbreitet werden. Einfach gesagt ist die C&C-Infrastruktur eine „Hintertür“ in die App, die ausgenutzt werden kann, wenn eine Schwachstelle entdeckt wird oder wenn der Angreifer einen zusätzlichen Code aktiviert, der in der ursprünglichen App versteckt sein kann.

Es gibt zahlreiche Beispiele für neu entdeckte Sicherheitslücken, die dazu führen, dass private Benutzerdaten verloren gehen und die Sandbox zerstört wird. Es ist sogar bekannt, dass Apple versehentlich bereits veröffentlichte Sicherheitslücken wieder in sein Produkt einführt.
Beispiele für relevante iOS Schwachstellen und Exploits:

• Die Uber-App nutzt Zugangsfunktionen, um die Aktivitäten von Benutzern bei Lyft auszuspionieren.

• Eine Chrome-Schwachstelle ermöglicht eine Umgehung von iOS Sandbox.

• Apple führt Jailbreak- Fehler in iOS erneut ein

Mehr über den Entwickler

Die Untersuchungen von Wandera zeigen, dass der iOS Entwickler AppAspect Technologies denselben C&C-Server nutzt, den Dr. Web identifiziert hat.

AppAspect Technologies hat auch ein Entwicklerprofil im Google Play Store, mit derzeit 28 veröffentlichten Apps. Wandera testete diese AppAspect-Apps und stellte fest, dass die Android-Apps dieses Entwicklers nicht mit dem identifizierten C&C-Server kommunizierten.

Weitere Nachforschungen ergaben jedoch, dass die Android-Apps von AppAspect in der Vergangenheit bereits infiziert und aus dem Store entfernt worden waren. Sie wurden inzwischen neu veröffentlicht und scheinen die bösartigen Funktionen nicht mehr zu enthalten. Es ist unklar, ob der fehlerhafte Code vom Entwickler absichtlich oder unabsichtlich eingefügt wurde.

Unser verantwortungsvoller Offenlegungsprozess

Der App Store von Apple bietet keinen klar definierten Prozess für die Meldung von schädlichen Apps. Vor der Veröffentlichung dieser Studie haben wir uns jedoch direkt mit dem Team bei Apple in Verbindung gesetzt - mit dem wir bereits in der Vergangenheit zusammengearbeitet haben – das für die Produktsicherheit des Unternehmens zuständig ist.

Wenn das Threat Research Team von Wandera eine Schwachstelle entdeckt, unabhängig davon, ob es in einem Betriebssystem, einer mobilen App oder einer Website gefunden wurde – ist es unsere Priorität, den betroffenen Anbieter (in diesem Fall Apple) so schnell wie möglich zu informieren, um relevante Informationen und Empfehlungen weiterzugeben, die dazu führen, dass die Bedrohung neutralisiert wird.

Unsere Unternehmensrichtlinie verbietet uns, mit Malware-Entwicklern zu arbeiten. Unser Schwerpunkt liegt auf der Beseitigung aktiver Bedrohungen von Benutzern und der Unterstützung legitimer Entwickler bei der Behebung von Schwachstellen in ihrem Code.

Die Reaktion von Apple

Apple hat alle kompromittierten Apps entfernt, mit Ausnahme von zwei, die wir weiterhin überwachen: My Train Info – IRCTC & PNR und Easy Contacts Backup Manager.

Laut diesem Help Net Security Artikel: Ein Apple-Sprecher sagte gegenüber Help Net Security, dass 18 Apps entfernt wurden, weil sie Code enthielten, der das künstliche Anklicken von Werbung ermöglichte (ein Verstoß gegen die Apple-Richtlinien), und dass das Unternehmen seine Tools aktualisiert hat, um künftige Einreichungen dieser Art von Apps zu erkennen.

Empfehlungen

Diese Entdeckung ist die neueste in einer Reihe von bösartigen Apps, die in einem offiziellen App-Store aufgetaucht sind, und ein weiterer Beweis dafür, dass Malware das iOS-Ökosystem beeinflusst. Mobile Malware ist immer noch eine der selteneren Bedrohungen in der Praxis, aber wir beobachten, dass sie immer häufiger in gezielten Angriffsszenarien eingesetzt wird. Techniken wie die, in diesem Beispiel verwendeten, deuten auch darauf hin, dass immer mehr Malware in offizielle App-Quellen eingeschleust wird, sodass sie sowohl für normale Verbraucher als auch für mobile Mitarbeiter leichter zugänglich ist.

Wie immer empfehlen wir, dass Unternehmen, die Mobilgeräte nutzen, eine Art von App-Sicherheitsprüfung verwenden, um sicherzustellen, dass Apps – vor allem kostenlose – vertrauenswürdig sind, d. h. über gute Bewertungen und legitime Entwicklerprofile verfügen und keine unnötigen oder risikoreichen App-Berechtigungen anfordern.

Darüber hinaus empfiehlt Wandera, sowohl für BYOD- als auch für unternehmenseigene Geräte eine mobile Sicherheitslösung zu installieren, die den C&C-Verkehr und alle Verbindungen nach außen blockieren kann, die bösartige Apps herzustellen versuchen, um sicherzustellen, dass Ihre sensiblen Daten geschützt bleiben. So kann sichergestellt werden, dass selbst bei der Installation von Malware auf dem mobilen Gerät die Funktionalität stark eingeschränkt ist und die Unternehmensdaten geschützt werden.

* Die von Wandera erstellte Liste der infizierten Apps enthielt zwei Instanzen der Cricket-App "CrickOne", die in verschiedenen regionalen App Stores gehostet wurden und unterschiedliche Metadaten enthielten. Nach sorgfältiger Prüfung haben wir festgestellt, dass diese Anwendungen die gleiche Codebasis verwenden. Daher wurde die Gesamtzahl der infizierten Apps auf 17 angepasst, um diese Entdeckung zu berücksichtigen.