Skjult malware forgriber sig på millioner af Android-telefoner ud af boksen
En bekymrende hændelse med et forsyningskædeangreb rettet mod Android-enheder er blevet afsløret af cybersikkerhedsforskere hos Trend Micro. De har opdaget, at millioner af Android-enheder, herunder budgetsmartphones, smartwatches, smart-tv'er og andre smartenheder, bliver inficeret med infostealer-malware, selv før de forlader fabrikken.
Under en konference i Singapore kastede Trend Micro-forskerne Fyodor Yarochkin og Zhengyu Dong lys over årsagen til dette problem og tilskrev det hård konkurrence blandt producenter af originalt udstyr (OEM'er). Mens smartphoneproducenter outsourcer visse komponenter, såsom firmware, til tredjepartsleverandører, har de faldende priser på mobiltelefonfirmware fået disse leverandører til at kæmpe med at tjene penge på deres produkter.
Yarochkin forklarede derfor, at disse produkter begyndte at komme forudinstalleret med "støjsvage plugins", som var uønsket ekstraudstyr. Trend Micros undersøgelse afslørede adskillige firmwarebilleder, der scannede for ondsindet software og identificerede omkring 80 forskellige plugins. Nogle af disse plugins var en del af en bredere "forretningsmodel" og blev solgt på underjordiske fora samt annonceret på almindelige sociale medieplatforme og blogs.
Disse plugins har forskellige muligheder, herunder tyveri af følsomme oplysninger, SMS-beskeder, overtagelse af sociale medier, annonce- og kliksvindel, trafikmisbrug og mere. Registeret fremhævede et særligt alvorligt problem, hvor et plugin giver køberen mulighed for at få fuldstændig kontrol over en enhed i perioder på op til fem minutter og bruge den som en "exit node."
Ifølge Trend Micro indikerer dataene, at næsten ni millioner enheder verden over er blevet ofre for dette forsyningskædeangreb, hvor størstedelen er placeret i Sydøstasien og Østeuropa. Mens forskerne ikke eksplicit navngav de skyldige, nævnte de Kina flere gange i deres diskussion.
Hvad er et Supply Chain Attack?
Et forsyningskædeangreb er en ondsindet taktik, der anvendes af cyberkriminelle til at målrette og udnytte sårbarheder inden for det indbyrdes forbundne netværk af leverandører, leverandører og tjenesteudbydere, der bidrager til produktion og distribution af varer eller tjenester. I stedet for at angribe et specifikt mål direkte, infiltrerer angriberne og kompromitterer en betroet enhed i forsyningskæden for at få uautoriseret adgang eller introducere ondsindede elementer i det endelige produkt eller service.
Formålet med et forsyningskædeangreb er at udnytte tilliden til den kompromitterede enhed og bruge den som et springbræt for at nå det ultimative mål. Ved at kompromittere et pålideligt led i forsyningskæden kan angriberne få adgang til følsom information, introducere malware, manipulere med produkter eller manipulere processer, hvilket fører til forskellige skadelige resultater.
Der er forskellige metoder anvendt i forsyningskædeangreb, herunder:
Software- eller firmwaremanipulation: Angribere angriber softwaren eller firmwaren på produkter, indsætter ondsindet kode eller sårbarheder under udviklings- eller fremstillingsprocessen.
Leverandørkompromis: Cyberkriminelle kompromitterer en leverandørs eller leverandørs infrastruktur for at få uautoriseret adgang til følsomme data eller systemer og bruger dem som affyringsrampe for yderligere angreb.
Udnyttelse af tredjepartskomponenter: Angribere udnytter sårbarheder i tredjepartskomponenter integreret i produkter eller tjenester og udnytter disse svagheder til at kompromittere det overordnede system.
Forfalskede komponenter: Ondsindede aktører introducerer forfalskede eller kompromitterede komponenter i forsyningskæden, hvilket kan føre til sikkerhedsbrud eller ydeevneproblemer i det endelige produkt.
