Versteckte Malware, die sofort auf Millionen von Android-Telefonen lauert

Cybersicherheitsforscher von Trend Micro haben einen besorgniserregenden Vorfall eines Lieferkettenangriffs auf Android-Geräte aufgedeckt. Sie haben herausgefunden, dass Millionen von Android-Geräten, darunter preisgünstige Smartphones, Smartwatches, Smart-TVs und andere Smart-Geräte, bereits vor Verlassen des Werks mit Infostealer-Malware infiziert sind.

Während einer Konferenz in Singapur beleuchteten die Trend Micro-Forscher Fyodor Yarochkin und Zhengyu Dong die Grundursache dieses Problems und führten es auf den harten Wettbewerb zwischen Originalgeräteherstellern (OEMs) zurück. Während Smartphone-Hersteller bestimmte Komponenten wie Firmware an Drittanbieter auslagern, haben die sinkenden Preise für Mobiltelefon-Firmware dazu geführt, dass diese Anbieter Schwierigkeiten haben, ihre Produkte zu monetarisieren.

Infolgedessen erklärte Yarochkin, dass diese Produkte mit vorinstallierten „stillen Plugins“ ausgestattet seien, bei denen es sich um unerwünschte Extras handele. Die Untersuchung von Trend Micro ergab, dass zahlreiche Firmware-Images nach bösartiger Software durchsucht wurden und rund 80 verschiedene Plugins identifiziert wurden. Einige dieser Plugins waren Teil eines umfassenderen „Geschäftsmodells“ und wurden in Untergrundforen verkauft sowie auf Mainstream-Social-Media-Plattformen und Blogs beworben.

Diese Plugins verfügen über verschiedene Funktionen, darunter den Diebstahl sensibler Informationen, SMS-Nachrichten, die Übernahme von Social-Media-Konten, Anzeigen- und Klickbetrug, Verkehrsmissbrauch und mehr. Das Register wies auf ein besonders schwerwiegendes Problem hin, bei dem ein Plugin es dem Käufer ermöglicht, für einen Zeitraum von bis zu fünf Minuten die vollständige Kontrolle über ein Gerät zu erlangen und es als „Ausgangsknoten“ zu verwenden.

Laut Trend Micro deuten die Daten darauf hin, dass weltweit fast neun Millionen Geräte Opfer dieses Supply-Chain-Angriffs geworden sind, die meisten davon in Südostasien und Osteuropa. Während die Forscher die Schuldigen nicht explizit nannten, erwähnten sie China in ihrer Diskussion mehrfach.

Was ist ein Supply-Chain-Angriff?

Ein Supply-Chain-Angriff ist eine böswillige Taktik, die von Cyberkriminellen eingesetzt wird, um Schwachstellen innerhalb des miteinander verbundenen Netzwerks von Lieferanten, Anbietern und Dienstleistern auszunutzen, die an der Produktion und Verteilung von Waren oder Dienstleistungen beteiligt sind. Anstatt ein bestimmtes Ziel direkt anzugreifen, infiltrieren und kompromittieren die Angreifer eine vertrauenswürdige Instanz innerhalb der Lieferkette, um sich unbefugten Zugriff zu verschaffen oder bösartige Elemente in das Endprodukt oder die Enddienstleistung einzuführen.

Das Ziel eines Supply-Chain-Angriffs besteht darin, das Vertrauen in die kompromittierte Einheit auszunutzen und es als Sprungbrett zum Erreichen des endgültigen Ziels zu nutzen. Durch die Kompromittierung eines vertrauenswürdigen Glieds in der Lieferkette können die Angreifer Zugriff auf vertrauliche Informationen erhalten, Malware einschleusen, Produkte manipulieren oder Prozesse manipulieren, was zu verschiedenen schädlichen Folgen führen kann.

Bei Angriffen auf die Lieferkette kommen verschiedene Methoden zum Einsatz, darunter:

Software- oder Firmware-Manipulation: Angreifer zielen auf die Software oder Firmware von Produkten ab und fügen während des Entwicklungs- oder Herstellungsprozesses Schadcode oder Schwachstellen ein.

Kompromittierung von Anbietern: Cyberkriminelle kompromittieren die Infrastruktur eines Anbieters oder Lieferanten, um sich unbefugten Zugriff auf sensible Daten oder Systeme zu verschaffen und diese als Ausgangspunkt für weitere Angriffe zu nutzen.

Ausnutzung von Komponenten Dritter: Angreifer nutzen Schwachstellen in Komponenten Dritter aus, die in Produkte oder Dienste integriert sind, und nutzen diese Schwachstellen aus, um das Gesamtsystem zu gefährden.

Gefälschte Komponenten: Böswillige Akteure bringen gefälschte oder kompromittierte Komponenten in die Lieferkette ein, was zu Sicherheitsverletzungen oder Leistungsproblemen beim Endprodukt führen kann.