Um die Funktionalität ihrer Android-Malware zu verschleiern, setzen Hacker immer häufiger unbekannte Komprimierungsverfahren ein.
Der Google Play Store schützt zu einem gewissen Grad vor Malware. (Bild: KIMIHIRO HOSHINO/AFP/GettyImages)
Um Schadsoftware für Android-Geräte vor gängigen Sicherheits- und Analysetools zu verbergen, setzen Hacker zunehmend unbekannte oder optimierte Komprimierungsalgorithmen ein, die eine Dekompilierung der jeweiligen APK-Dateien bösartiger Apps verhindern. Dadurch wird aber nicht nur die Erkennung durch Sicherheitslösungen erschwert, sondern ebenso die Untersuchung der Malware durch Sicherheitsforscher. Für Letztere ist es infolgedessen auch schwerer, die Funktionsweise der Schadsoftware zu verstehen und Empfehlungen für mögliche Schutzmaßnahmen herauszugeben.
Bösartige Android-Apps entziehen sich der Analyse
Forscher von Zimperium sammelten rund 3.300 solcher APK-Dateien aus öffentlichen Quellen, von denen jedoch ein Großteil beschädigt und somit gar nicht ausführbar gewesen sei. Lediglich 71 bösartige Apps konnten demnach vom Android-System der Analysten geladen werden – und keine davon war im Google Play Store verfügbar. Die Sicherheitsforscher folgerten daraus, dass die Verbreitung der APKs entweder über App-Stores von Drittanbietern erfolgte oder dass die Angreifer ihre Zielpersonen auf anderem Wege dazu brachten, die Apps manuell zu installieren.
Wie die Forscher in ihrem Bericht erklären, lassen sich die durch unbekannte Komprimierungsmethoden gepackten APKs unter Android 8 oder älter gar nicht erst installieren, sodass ältere Geräte in diesem Falle vor potenziellen Angriffen geschützt sind. Ab Android 9 sei eine Installation aber problemlos möglich.
Sie versuchten die untersuchten Apps mit verschiedenen Anwendungen wie JADX, APKtool und dem macOS Archive Utility zu entpacken, doch keines davon war dazu imstande. Für einige der APK-Dateien sollen die Angreifer sogar eine speziell manipulierte AndroidManifest.xml oder einen mehr als 256 Byte umfassenden Dateinamen verwendet haben, was einige der von den Forschern im Rahmen ihrer Analyse verwendeten Tools zum Absturz gebracht habe.
Vorsicht vor Apps aus fragwürdigen Quellen
Insbesondere bei der Installation von Apps aus Drittanbieter-Stores oder anderen nicht vertrauenswürdigen Quellen ist grundsätzlich Vorsicht geboten, da Google dort keine vergleichbaren Sicherheitsprüfungen wie jene im hauseigenen Play Store vornehmen kann. Wie der Konzern erst kürzlich selbst erklärte, gibt es zwar durchaus Wege, auch über den Play Store Malware einzuschleusen, jedoch sind die Hürden dabei wesentlich höher, als wenn Anwender ihre APK-Dateien einfach von einer unbekannten Webseite beziehen.
Wer dennoch hin und wieder eine App aus alternativen Quellen auf seinem Android-Gerät installiert, findet im Zimperium-Bericht eine Auflistung der von den Forschern identifizierten bösartigen APK-Dateien und kann damit prüfen, ob er eine dieser Anwendungen installiert hat.
Quelle; golem
Der Google Play Store schützt zu einem gewissen Grad vor Malware. (Bild: KIMIHIRO HOSHINO/AFP/GettyImages)
Um Schadsoftware für Android-Geräte vor gängigen Sicherheits- und Analysetools zu verbergen, setzen Hacker zunehmend unbekannte oder optimierte Komprimierungsalgorithmen ein, die eine Dekompilierung der jeweiligen APK-Dateien bösartiger Apps verhindern. Dadurch wird aber nicht nur die Erkennung durch Sicherheitslösungen erschwert, sondern ebenso die Untersuchung der Malware durch Sicherheitsforscher. Für Letztere ist es infolgedessen auch schwerer, die Funktionsweise der Schadsoftware zu verstehen und Empfehlungen für mögliche Schutzmaßnahmen herauszugeben.
Bösartige Android-Apps entziehen sich der Analyse
Forscher von Zimperium sammelten rund 3.300 solcher APK-Dateien aus öffentlichen Quellen, von denen jedoch ein Großteil beschädigt und somit gar nicht ausführbar gewesen sei. Lediglich 71 bösartige Apps konnten demnach vom Android-System der Analysten geladen werden – und keine davon war im Google Play Store verfügbar. Die Sicherheitsforscher folgerten daraus, dass die Verbreitung der APKs entweder über App-Stores von Drittanbietern erfolgte oder dass die Angreifer ihre Zielpersonen auf anderem Wege dazu brachten, die Apps manuell zu installieren.
Wie die Forscher in ihrem Bericht erklären, lassen sich die durch unbekannte Komprimierungsmethoden gepackten APKs unter Android 8 oder älter gar nicht erst installieren, sodass ältere Geräte in diesem Falle vor potenziellen Angriffen geschützt sind. Ab Android 9 sei eine Installation aber problemlos möglich.
Sie versuchten die untersuchten Apps mit verschiedenen Anwendungen wie JADX, APKtool und dem macOS Archive Utility zu entpacken, doch keines davon war dazu imstande. Für einige der APK-Dateien sollen die Angreifer sogar eine speziell manipulierte AndroidManifest.xml oder einen mehr als 256 Byte umfassenden Dateinamen verwendet haben, was einige der von den Forschern im Rahmen ihrer Analyse verwendeten Tools zum Absturz gebracht habe.
Vorsicht vor Apps aus fragwürdigen Quellen
Insbesondere bei der Installation von Apps aus Drittanbieter-Stores oder anderen nicht vertrauenswürdigen Quellen ist grundsätzlich Vorsicht geboten, da Google dort keine vergleichbaren Sicherheitsprüfungen wie jene im hauseigenen Play Store vornehmen kann. Wie der Konzern erst kürzlich selbst erklärte, gibt es zwar durchaus Wege, auch über den Play Store Malware einzuschleusen, jedoch sind die Hürden dabei wesentlich höher, als wenn Anwender ihre APK-Dateien einfach von einer unbekannten Webseite beziehen.
Wer dennoch hin und wieder eine App aus alternativen Quellen auf seinem Android-Gerät installiert, findet im Zimperium-Bericht eine Auflistung der von den Forschern identifizierten bösartigen APK-Dateien und kann damit prüfen, ob er eine dieser Anwendungen installiert hat.
Quelle; golem
