Rejtett rosszindulatú programok milliónyi Android telefonra, már a dobozból
A Trend Micro kiberbiztonsági kutatói feltártak egy Android-eszközöket célzó ellátási lánc támadást. Felfedezték, hogy Android-eszközök milliói, köztük olcsó okostelefonok, okosórák, okostévék és más okoseszközök már a gyár elhagyása előtt megfertőződnek infolopó kártevőkkel.
Egy szingapúri konferencián a Trend Micro kutatói, Fyodor Yarochkin és Zhengyu Dong rávilágítottak a probléma kiváltó okára, és az eredeti berendezésgyártók (OEM-ek) közötti éles versenynek tulajdonították. Míg az okostelefon-gyártók bizonyos összetevőket, például a firmware-t külső beszállítóknak adják ki, a mobiltelefonok firmware-ének csökkenő árai miatt ezek a beszállítók nehézségekbe ütköztek termékeik bevételszerzése terén.
Következésképpen Yarochkin kifejtette, hogy ezek a termékek elkezdtek előre telepítve „csendes bővítményekkel”, amelyek nem kívánt extrák voltak. A Trend Micro vizsgálata számos firmware-képet tárt fel rosszindulatú szoftverek után kutatva, és körülbelül 80 különböző beépülő modult azonosított. E beépülő modulok némelyike egy szélesebb "üzleti modell" része volt, és földalatti fórumokon árulták, valamint a közösségi média főbb platformjain és blogjain hirdették.
Ezek a beépülő modulok különféle képességekkel rendelkeznek, beleértve az érzékeny adatok ellopását, SMS-üzeneteket, a közösségi média fiókok átvételét, a hirdetésekkel és kattintással kapcsolatos csalásokat, a forgalommal való visszaélést és még sok mást. A Register kiemelt egy különösen súlyos problémát, amelynél a beépülő modul lehetővé teszi a vásárló számára, hogy legfeljebb öt percig teljes irányítást szerezzen egy eszköz felett, és „kilépési csomópontként” használja azt.
A Trend Micro szerint az adatok azt mutatják, hogy világszerte közel kilencmillió eszköz esett áldozatul ennek az ellátási lánc támadásnak, amelyek többsége Délkelet-Ázsiában és Kelet-Európában található. Bár a kutatók nem nevezték meg kifejezetten a tetteseket, megbeszélésük során többször is megemlítették Kínát.
Mi az ellátási lánc támadás?
Az ellátási lánc támadása a kiberbűnözők által alkalmazott rosszindulatú taktika a beszállítók, szállítók és szolgáltatók összekapcsolt hálózatán belüli sebezhetőségek megcélzására és kihasználására, amelyek hozzájárulnak az áruk vagy szolgáltatások előállításához és elosztásához. Ahelyett, hogy közvetlenül megtámadnának egy adott célpontot, a támadók beszivárognak és feltörnek egy megbízható entitást az ellátási láncon belül, hogy illetéktelen hozzáférést kapjanak, vagy rosszindulatú elemeket vigyenek be a végtermékbe vagy szolgáltatásba.
Az ellátási lánc támadásának célja, hogy kihasználja a kompromittált entitásba vetett bizalmat, és azt lépcsőfokként használja a végső cél eléréséhez. Az ellátási lánc egy megbízható láncszemének veszélyeztetésével a támadók hozzáférhetnek érzékeny információkhoz, rosszindulatú programokat vezethetnek be, manipulálhatják a termékeket vagy manipulálhatják a folyamatokat, ami különféle káros következményekhez vezethet.
Az ellátási lánc támadásai során különböző módszereket alkalmaznak, többek között:
Szoftver- vagy firmware-manipuláció: A támadók a termékek szoftverét vagy firmware-jét veszik célba, rosszindulatú kódot vagy sebezhetőséget illesztve be a fejlesztési vagy gyártási folyamat során.
Szállítói kompromisszum: A kiberbűnözők feltörik a szállítót vagy a beszállító infrastruktúráját, hogy illetéktelenül hozzáférjenek érzékeny adatokhoz vagy rendszerekhez, és indítópadként használják fel őket további támadásokhoz.
Harmadik féltől származó összetevők kihasználása: A támadók kihasználják a termékekbe vagy szolgáltatásokba integrált, harmadik féltől származó összetevők sebezhetőségét, és ezeket a gyengeségeket kihasználva veszélyeztetik az egész rendszert.
Hamisított összetevők: A rosszindulatú szereplők hamis vagy feltört összetevőket juttatnak be az ellátási láncba, ami biztonsági megsértésekhez vagy teljesítményproblémákhoz vezethet a végtermékben.