Malware

Apps mit bösartigem Verhalten auf zahlreichen Geräten installiert

Bildquelle: Pexels auf Pixabay
Anzeige

Dank seiner Sinkhole-Infrastruktur ist man bei Bitsight auf eine Domain aufmerksam geworden, die mit dem Android Mobile Advertising Software Development Kit (SDK) Arrkii in Verbindung steht. Bei ihrer Analyse sind die Bitsight-Experten zu dem Ergebnis gekommen, dass das SDK Arrkii Funktionen und Verhaltensweisen einer potenziell unerwünschten Anwendung (Potentially Unwanted Application, PUA) aufweist.

Bei einem SDK handelt es sich um ein Software-Paket, das Programmcodes, Schnittstellen und häufig auch Anleitungen zur Verfügung stellt. Im speziellen Fall von Mobile Advertising SDKs integrieren App-Entwickler ein solches SDK in ihre App. Damit wird den Nutzern der App Werbung angezeigt und die Entwickler werden an den Werbeeinnahmen beteiligt. Das hilft den Entwicklern, die von ihnen entwickelten Anwendungen zu monetarisieren.

Die App-Entwickler nehmen das SDK in ihre Apps auf, und das SDK übernimmt die Arbeit der Verbindung zu Werbeanbietern und der Einblendung von Anzeigen für die Benutzer. Das Arrkii SDK wirbt damit, dass eine App mit 100.000 Benutzern täglich rund 300 Dollar Gewinn generieren würde. Es wird von Entwicklern also wegen der hohen versprochenen Monetarisierung in ihre Applikationen integriert, die dann von den Anwendern nichtsahnend installiert werden.

Bitsight hat einen Teil der Infrastruktur dieses SDKs über Sinkholing identifiziert. Dabei wurden insgesamt 15 Millionen verschiedene Geräte (mit 40 Millionen verschiedenen IP-Adressen) über einen Zeitraum von einem Monat gezählt, die aus einem Unternehmensnetzwerk heraus kommuniziert haben. Dies betrifft Geräte in mehr als 6.000 Unternehmen in vielen Branchen. Die überwiegende Mehrheit der infizierten Geräte befand sich in Indien. In Deutschland wurden knapp 200.000 infizierte Geräte gezählt.

Schon die Existenz von Malware oder einfach nur potenziell unerwünschten Anwendungen in einem Unternehmen ist streng genommen ein Breach und ein deutlicher Indikator dafür, dass Sicherheitskontrollen versagt haben. Auf jeden Fall sollten in diesem Fall zusätzliche Maßnahmen zur Verbesserung der IT-Sicherheit ergriffen werden.

Bitsight hat auf der oben erwähnten Domain eingehende Verbindungen von 45 verschiedenen Apps beobachtet. Die meisten stammten von zwei mobilen Anwendungen: com.nemo.vidmate (VidMate) und com.xrom.intl.appcenter (App Store Meizu). Hervorzuheben ist, dass Bitsight nur einige Versionen des SDK via Sinkholing beobachtet hat. Es ist daher wahrscheinlich, dass andere Versionen des SDKs in weiteren Apps vorhanden sind und eine weit größere Anzahl von Geräten infiziert ist. Auch können weitere SDKs mit ähnlich bösartigem Verhalten existieren, die aber keine Verbindung zu dieser spezifischen Domain aufbauen. Das würde weitere infizierte Geräte bedeuten.

Bösartige SDKs für Mobile Advertising sind seit einiger Zeit eine der Hauptursachen für Sicherheitslücken im Android-Ökosystem. Zahlreiche verdächtige SDKs sind online erhältlich und versprechen den App-Entwicklern höhere Einnahmen (als nicht-bösartige SDKs), wenn sie sie zu ihren Apps hinzuzufügen. Es ist davon auszugehen, dass die meisten Entwickler, die diese SDKs integrieren, keine bösartigen Absichten verfolgen, sondern einfach versuchen, ihre Arbeit bestmöglich zu monetarisieren. Durch die Verwendung dieser SDKs setzen die App-Entwickler jedoch (oft unwissentlich) die IT-Sicherheit ihrer Anwender Risiken aus oder erleichtern Werbebetrug.

Um sich vor Bedrohungen durch bösartige SDKs zu schützen, sollten Unternehmen die folgenden Maßnahmen ergreifen und Risiken proaktiv minimieren:

  • Eine MDM (Mobile Device Management)-Lösung für die mobilen Geräte einführen,
  • MDM Policies aufstellen, die den Netzwerkzugriff für Geräte zu deaktivieren, die nicht ins MDM integriert sind, gerootet sind oder ein veraltetes Betriebssystem haben, die Applikation Sideloading erlauben oder App Stores von Drittanbietern installiert haben,
  • Schulungseinheiten und Material zur sicheren Nutzung mobiler Geräte in das Security Awareness Training integrieren.

Patrick Steinmetz, Bitsight

Bitsight

Anzeige

Smarte Maschinen im Einsatz

Konferenz „Smarte Maschinen im Einsatz – Künstliche Intelligenz in Unternehmen“ am 15. Oktober 2019

Konradin Industrie

Titelbild cav - Prozesstechnik für die Chemieindustrie 10
Ausgabe
10.2019
LESEN
ARCHIV
ABO

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de