Skjult skadelig programvare jakter på millioner av Android-telefoner ut av esken

En bekymringsfull hendelse med et forsyningskjedeangrep rettet mot Android-enheter har blitt avdekket av cybersikkerhetsforskere ved Trend Micro. De har oppdaget at millioner av Android-enheter, inkludert budsjettsmarttelefoner, smartklokker, smart-TVer og andre smarte enheter, blir infisert med infostealer-malware selv før de forlater fabrikken.

Under en konferanse i Singapore belyste Trend Micro-forskerne Fyodor Yarochkin og Zhengyu Dong årsaken til dette problemet, og tilskrev det hard konkurranse blant produsenter av originalutstyr (OEM). Mens smarttelefonprodusenter outsourcer visse komponenter, for eksempel fastvare, til tredjepartsleverandører, har de synkende prisene på fastvare for mobiltelefoner ført til at disse leverandørene sliter med å tjene penger på produktene sine.

Følgelig forklarte Yarochkin at disse produktene begynte å komme forhåndsinstallert med "stille plugins" som var uønsket ekstrautstyr. Trend Micros undersøkelse avdekket en rekke fastvarebilder som skannet etter skadelig programvare og identifiserte rundt 80 forskjellige plugins. Noen av disse pluginene var en del av en bredere "forretningsmodell" og ble solgt på underjordiske fora samt annonsert på vanlige sosiale medieplattformer og blogger.

Disse pluginene har ulike funksjoner, inkludert tyveri av sensitiv informasjon, SMS-meldinger, kontoovertakelse på sosiale medier, svindel med annonser og klikk, trafikkmisbruk og mer. Registeret fremhevet ett spesielt alvorlig problem der en plugin lar kjøperen få full kontroll over en enhet i perioder på opptil fem minutter og bruke den som en "utgangsnode."

Ifølge Trend Micro indikerer dataene at nesten ni millioner enheter over hele verden har blitt offer for dette forsyningskjedeangrepet, med flertallet lokalisert i Sørøst-Asia og Øst-Europa. Mens forskerne ikke eksplisitt nevnte de skyldige, nevnte de Kina flere ganger i diskusjonen.

Hva er et forsyningskjedeangrep?

Et forsyningskjedeangrep er en ondsinnet taktikk brukt av nettkriminelle for å målrette og utnytte sårbarheter innenfor det sammenkoblede nettverket av leverandører, leverandører og tjenesteleverandører som bidrar til produksjon og distribusjon av varer eller tjenester. I stedet for å angripe et spesifikt mål direkte, infiltrerer angriperne og kompromitterer en pålitelig enhet i forsyningskjeden for å få uautorisert tilgang eller introdusere ondsinnede elementer i det endelige produktet eller tjenesten.

Målet med et forsyningskjedeangrep er å utnytte tilliten til den kompromitterte enheten og bruke den som et springbrett for å nå det endelige målet. Ved å kompromittere et pålitelig ledd i forsyningskjeden, kan angriperne få tilgang til sensitiv informasjon, introdusere skadelig programvare, tukle med produkter eller manipulere prosesser, noe som fører til ulike skadelige utfall.

Det er forskjellige metoder som brukes i forsyningskjedeangrep, inkludert:

Programvare- eller fastvaremanipulering: Angripere retter seg mot programvaren eller fastvaren til produktene, setter inn skadelig kode eller sårbarheter under utviklings- eller produksjonsprosessen.

Leverandørkompromiss: Cyberkriminelle kompromitterer en leverandørs eller leverandørs infrastruktur for å få uautorisert tilgang til sensitive data eller systemer og bruker dem som en startrampe for ytterligere angrep.

Tredjepartskomponentutnyttelse: Angripere utnytter sårbarheter i tredjepartskomponenter integrert i produkter eller tjenester, og utnytter disse svakhetene til å kompromittere det generelle systemet.

Forfalskede komponenter: Ondsinnede aktører introduserer forfalskede eller kompromitterte komponenter i forsyningskjeden, noe som kan føre til sikkerhetsbrudd eller ytelsesproblemer i sluttproduktet.