Verborgen malware aast op miljoenen Android-telefoons uit de doos
Een zorgwekkend incident van een supply chain-aanval gericht op Android-apparaten is ontdekt door cyberbeveiligingsonderzoekers van Trend Micro. Ze hebben ontdekt dat miljoenen Android-apparaten, waaronder goedkope smartphones, smartwatches, smart-tv's en andere slimme apparaten, worden geïnfecteerd met infostealer-malware nog voordat ze de fabriek verlaten.
Tijdens een conferentie in Singapore wierpen Trend Micro-onderzoekers Fyodor Yarochkin en Zhengyu Dong hun licht op de oorzaak van dit probleem en schreven deze toe aan de hevige concurrentie tussen fabrikanten van originele apparatuur (OEM's). Terwijl smartphonefabrikanten bepaalde componenten, zoals firmware, uitbesteden aan externe leveranciers, hebben de dalende prijzen van firmware voor mobiele telefoons ertoe geleid dat deze leveranciers moeite hebben om geld te verdienen met hun producten.
Bijgevolg legde Yarochkin uit dat deze producten vooraf werden geïnstalleerd met "stille plug-ins" die ongewenste extra's waren. Het onderzoek van Trend Micro bracht talloze firmware-images aan het licht die scanden op schadelijke software en ongeveer 80 verschillende plug-ins identificeerde. Sommige van deze plug-ins maakten deel uit van een breder "bedrijfsmodel" en werden verkocht op ondergrondse fora en geadverteerd op reguliere sociale mediaplatforms en blogs.
Deze plug-ins hebben verschillende mogelijkheden, waaronder diefstal van gevoelige informatie, sms-berichten, overname van sociale media-accounts, advertentie- en klikfraude, verkeersmisbruik en meer. Het register wees op een bijzonder ernstig probleem waarbij een plug-in de koper in staat stelt om volledige controle over een apparaat te krijgen voor perioden van maximaal vijf minuten en het te gebruiken als een "exit node".
Volgens Trend Micro geven de gegevens aan dat wereldwijd bijna negen miljoen apparaten het slachtoffer zijn geworden van deze supply chain-aanval, waarvan de meerderheid zich in Zuidoost-Azië en Oost-Europa bevindt. Hoewel de onderzoekers de daders niet expliciet noemden, noemden ze China wel meerdere keren in hun discussie.
Wat is een supply chain-aanval?
Een supply chain-aanval is een kwaadaardige tactiek die door cybercriminelen wordt gebruikt om kwetsbaarheden binnen het onderling verbonden netwerk van leveranciers, verkopers en serviceproviders die bijdragen aan de productie en distributie van goederen of diensten, aan te pakken en te exploiteren. In plaats van een specifiek doelwit rechtstreeks aan te vallen, infiltreren en compromitteren de aanvallers een vertrouwde entiteit binnen de toeleveringsketen om ongeoorloofde toegang te krijgen of om kwaadaardige elementen in het uiteindelijke product of de uiteindelijke dienst te introduceren.
Het doel van een supply chain-aanval is om het vertrouwen dat in de gecompromitteerde entiteit wordt gesteld, uit te buiten en dit te gebruiken als springplank om het uiteindelijke doelwit te bereiken. Door een vertrouwde schakel in de toeleveringsketen te compromitteren, kunnen aanvallers toegang krijgen tot gevoelige informatie, malware introduceren, met producten knoeien of processen manipuleren, wat tot verschillende nadelige gevolgen kan leiden.
Er zijn verschillende methoden die worden gebruikt bij supply chain-aanvallen, waaronder:
Manipulatie van software of firmware: aanvallers richten zich op de software of firmware van producten en voegen schadelijke code of kwetsbaarheden toe tijdens het ontwikkelings- of fabricageproces.
Vendor Compromise: Cybercriminelen compromitteren de infrastructuur van een leverancier of leverancier om ongeoorloofde toegang te krijgen tot gevoelige gegevens of systemen en deze te gebruiken als startpunt voor verdere aanvallen.
Exploitatie van componenten van derden: aanvallers maken misbruik van kwetsbaarheden in componenten van derden die zijn geïntegreerd in producten of services, en maken gebruik van deze zwakheden om het algehele systeem in gevaar te brengen.
Vervalste componenten: Kwaadwillende actoren introduceren vervalste of gecompromitteerde componenten in de toeleveringsketen, wat kan leiden tot inbreuken op de beveiliging of prestatieproblemen in het eindproduct.
