Dold skadlig programvara förgriper sig på miljontals Android-telefoner direkt

En oroande incident med en supply chain-attack riktad mot Android-enheter har upptäckts av cybersäkerhetsforskare på Trend Micro. De har upptäckt att miljontals Android-enheter, inklusive budgetsmarttelefoner, smartklockor, smarta TV-apparater och andra smarta enheter, infekteras med infostealer-skadlig programvara redan innan de lämnade fabriken.

Under en konferens i Singapore kastade Trend Micro-forskarna Fyodor Yarochkin och Zhengyu Dong ljus på grundorsaken till detta problem, och tillskrev det hård konkurrens bland originalutrustningstillverkare (OEM). Medan smartphonetillverkare lägger ut vissa komponenter, såsom firmware, till tredjepartsleverantörer, har de sjunkande priserna på fast programvara för mobiltelefoner fått dessa leverantörer att kämpa med att tjäna pengar på sina produkter.

Följaktligen förklarade Yarochkin att dessa produkter började komma förinstallerade med "tysta plugins" som var oönskade extrafunktioner. Trend Micros undersökning avslöjade många firmware-bilder som skannade efter skadlig programvara och identifierade cirka 80 olika plugins. Några av dessa plugins var en del av en bredare "affärsmodell" och såldes på underjordiska forum samt annonserades på vanliga sociala medieplattformar och bloggar.

Dessa plugins har olika funktioner, inklusive stöld av känslig information, SMS, övertagande av konton på sociala medier, bedrägeri med annonser och klick, trafikmissbruk och mer. Registret lyfte fram ett särskilt allvarligt problem där ett plugin tillåter köparen att få fullständig kontroll över en enhet under perioder på upp till fem minuter och använda den som en "utgångsnod".

Enligt Trend Micro indikerar uppgifterna att nästan nio miljoner enheter över hela världen har fallit offer för denna supply chain attack, med majoriteten i Sydostasien och Östeuropa. Även om forskarna inte uttryckligen namngav de skyldiga, nämnde de Kina flera gånger i sin diskussion.

Vad är en Supply Chain Attack?

En leveranskedjasattack är en skadlig taktik som används av cyberkriminella för att rikta in sig på och utnyttja sårbarheter inom det sammankopplade nätverket av leverantörer, leverantörer och tjänsteleverantörer som bidrar till produktion och distribution av varor eller tjänster. Istället för att attackera ett specifikt mål direkt, infiltrerar angriparna och äventyrar en pålitlig enhet inom försörjningskedjan för att få obehörig åtkomst eller införa skadliga element i den slutliga produkten eller tjänsten.

Syftet med en supply chain-attack är att utnyttja förtroendet för den komprometterade enheten och använda den som ett språngbräda för att nå det slutliga målet. Genom att äventyra en pålitlig länk i leveranskedjan kan angriparna få tillgång till känslig information, introducera skadlig programvara, manipulera produkter eller manipulera processer, vilket leder till olika skadliga resultat.

Det finns olika metoder som används i supply chain attacker, inklusive:

Manipulation av programvara eller firmware: Angripare riktar in sig på produkternas programvara eller fasta programvara och infogar skadlig kod eller sårbarheter under utvecklings- eller tillverkningsprocessen.

Leverantörskompromiss: Cyberkriminella äventyrar en leverantörs eller leverantörs infrastruktur för att få obehörig åtkomst till känsliga data eller system och använder dem som en startramp för ytterligare attacker.

Tredjepartskomponentexploatering: Angripare utnyttjar sårbarheter i tredjepartskomponenter integrerade i produkter eller tjänster och utnyttjar dessa svagheter för att äventyra det övergripande systemet.

Förfalskade komponenter: Skadliga aktörer introducerar förfalskade eller komprometterade komponenter i leveranskedjan, vilket kan leda till säkerhetsintrång eller prestandaproblem i slutprodukten.