Android Backdoor kann heimlich Audio & Video aufzeichnen – und mehr

von Lenart Bermejo, Jordan Pan und Cedric Pernet

Der Informationen stehlende RETADUP Wurm, der israelische Krankenhäuser angegriffen hatte, ist Teil einer Attacke, die breitangelegt ist, als ursprünglich angenommen – zumindest bezüglich der Auswirkungen. Der Angriff wurde von einer noch gefährlicheren Bedrohung begleitet – einer Android-Schadsoftware, die ein Mobilgerät übernehmen kann. Trend Micro hat sie als ANDROIDOS_GHOSTCTRL.OPS/ANDROIDOS_GHOSTCTRL.OPSA erkannt und den Backdoor GhostCtrl genannt, weil er unbemerkt eine Reihe von Funktionen auf dem betroffenen Gerät kontrollieren kann.

Es gibt drei Versionen. Die erste stahl Informationen und kontrollierte einige der Funktionalitäten des betroffenen Geräts, ohne diese Aktivitäten zu verstecken. Die zweite fügte dem Kapern weitere Funktionalität hinzu, und die dritte kombiniert das Beste aus den beiden früheren. Die Forscher erwarten weitere Versionen.

GhostCtrl ist eine Variante (oder beruht zumindest darauf) der kommerziell verfügbaren Multiplattform OmniRAT, die im November 2015 Schlagzeilen machte. Sie behauptet, aus der Ferne die Kontrolle über Windows-, Linux- und Mac-Systeme übernehmen zu können, und zwar über Knopfdruck auf einem Android-Gerät. Eine unbegrenzte Lizenz für ein OmniRAT-Paket kostet zwischen 25$ und 75$. Auch gibt es eine Menge Anleitungen dazu in Untergrundforen, und einige Mitglieder liefern sogar Patches dafür. Es gibt eine Red Flag, die zeigt, dass das bösartige APK ein OmniRAT-Spinoff ist. Da es sich um ein RAT-as-a-Service handelt, kann dies während der Kompilierung geändert werden.

GhostCtrl ist beunruhigend persistent

Die Schadsoftware tarnt sich als legitime oder weit verbreitete App mit Namen wie App, MMS, Whatsapp und sogar Pokemon GO. Technische Einzelheiten liefert der Originalbeitrag.

Die Schadsoftware sammelt verschiedene Arten sensibler, und für den Kriminellen wertvoller Informationen, einschließlich, Anruf-Logs, SMS-Aufzeichnungen, Kontakte, Telefonnummern, SIM-Seriennummern, Standort und Browser-Lesezeichen. Die Datenmenge, die GhostCtrl stiehlt, ist viel breiter gefächert als die von anderen Android Info-Stealern. Außer den bereits erwähnten Datenarten kann GhostCtrl auch Betriebssystemversion, Nutzername, WLAN, Akku, Bluetooth und Daten der Kamera, Broweser und verschiedener Prozesse sammeln.

Gegenmaßnahmen

Mehrschichtige Sicherheitsmechanismen sollten vorhanden sein, um das Risiko besser im Griff zu haben. Auch einige Best Practices müssen Sicherheitsverantwortliche und Administratoren beachten. Dazu gehören solche für die Sicherheit von Bring-Your-Own Devices (BYOD):

  • Geräte stets auf aktuellem Stand halten. Das Android-Patching ist nicht vollständig, und Unternehmen haben eigene Anforderungen oder Konfigurationen. Deshalb sollte ein Gleichgewicht zwischen Sicherheit und Produktivität gegeben sein.
  • Prinzip der Mindestprivilegien anwenden – die Rechte der Nutzer von BYOD einschränken, um nicht autorisierten Zugriff und Installation von verdächtigen Apps zu unterbinden.
  • Implementierung eines App-Reputationssystems, das bösartige und verdächtige Apps erkennt und blockt.
  • Installieren von Firewalls, Intrusion Detection and Prevention (IDS/IPS)-Systemen sowohl am Endpoint als auch für mobile Geräte, um bösartigen Netzwerkaktivitäten zuvorzukommen.
  • Durchsetzen der Gerätemanagement-Policies
  • Einsetzen von Verschlüsselung, Netzwerksegmentierung und Datentrennung
  • Regelmäßige Backups, um im Falle eines Datenverlusts, -diebstahls oder Verschlüsselung eine Sicherung zu besitzen.

Trend Micro-Lösungen

Endanwender und Unternehmen können auch Lösungen für mehrschichtige Sicherheit einsetzen, wie etwa Trend Micro™ Mobile Security for Android™.

Trend Micro™ Mobile Security for Enterprise liefert  Mobile Device Management (MDM), mobile Sicherheit, Datensicherheit und Anwendungsverwaltung in einer einzelnen, einfach verwaltbaren Lösung – damit Sie die Kontrolle über BYOD behalten.

Eine Liste aller Hashes finden Interessierte im Anhang.