Gevaarlijke aanval bedreigt miljoenen Androidtoestellen

  • 0

Gevaarlijke aanval bedreigt miljoenen Androidtoestellen

Category:blog Tags : 

Gevaarlijke aanval bedreigt miljoenen AndroidtoestellenAndroid

Begin dit jaar stond onderzoeker Andrew Brandt van beveiligingsbedrijf Blue Coat vreemd te kijken toen zijn Androidtoestel opeens met ransomware geïnfecteerd raakte, zonder enige interactie behalve het bezoeken van een website. Dit soort aanvallen worden drive by-downloads genoemd en zijn eerder op Mac OS X en Windows waargenomen. Tot april van dit jaar was een dergelijke aanval nog nooit op het Androidplatform gezien. Voor zover bekend raakten Androidtoestellen alleen besmet als gebruikers zelf een kwaadaardige app installeerden.

Verder onderzoek wees uit dat de aanvallers achter deze nieuwe aanvalsmethode op het Androidplatform al maanden bezig waren en selectief honderden toestellen hadden geïnfecteerd, zo laat Brandt in een interview met Security.NL weten. In april publiceerde de onderzoeker al een blogpost over de aanval, toch bevatte die niet alle details, zoals de exacte werking van de aanval en waarom de beveiligingsmaatregelen in Android, zoals Verify Apps, geen alarm sloegen.
Ransomware
Net als andere beveiligingsbedrijven zoekt Blue Coat op populaire websites naar malware. Vaak gaat het om automatische scans, maar de analisten controleren sommige websites die malware verspreiden ook handmatig. Vaak worden hiervoor Windowscomputers gebruikt, maar van tijd tot tijd test Brandt ook met Androidtoestellen. Op een maandagmorgen in april besloot de onderzoeker met een Androidtoestel te beginnen en de eerste website op zijn lijst liet opeens een pop-up zien dat het toestel werd geüpdatet en niet moest worden uitgeschakeld. De melding bleef op het scherm staan en kon ook niet worden gesloten, waarop Brandt het toestel herstartte.
Update now
Tot zijn grote verbazing was er ransomware op het toestel geïnstalleerd, ook al had hij alleen een website bezocht. Het ging hier niet om crypto-ransomware die gegevens voor losgeld versleutelt, maar om ransomware die claimde van een Amerikaanse opsporingsdienst afkomstig te zijn en stelde dat de gebruiker een misdrijf had begaan. Vervolgens moest er een boete worden betaald om weer toegang tot het apparaat te krijgen Het bleek niet mogelijk om de ransomware te verwijderen.
Android virus
Advertenties en exploits
De aanval was uitgevoerd via advertenties op een niet nader genoemde pornosite die Brandt testte. De advertenties stuurden bezoekers, die op basis van verschillende kenmerken zoals gebruikte Androidversie werden gekozen, naar maar liefst zes verschillende websites door voordat de exploit, die uiteindelijk de ransomware installeerde, werd geladen. Deze exploit bleek afkomstig te zijn van het Italiaanse bedrijf Hacking Team dat vorig jaar werd gehackt en over exploits voor allerlei onbekende kwetsbaarheden bleek te beschikken. In het geval van de aanval op het toestel van Brandt ging het om een exploit die gebruikmaakte van een kwetsbaarheid in de Androidbrowser, die tot en met Android 4.3 standaard werd meegeleverd. De aanvallers achter de aanval hadden de exploit van Hacking Team bijna één op één overgenomen. Via deze exploit was het mogelijk om zonder interactie van de gebruiker, behalve het bezoeken van een website of het tonen van een advertentie, kwaadaardige code op het toestel uit te voeren.
Deze exploit riep vervolgens een andere exploit genaamd Towelroot aan. Towelroot maakt gebruik van een kwetsbaarheid in Android waardoor het mogelijk is om rootrechten te krijgen. Sommige Androidgebruikers gebruiken deze specifieke exploit om hun toestel te rooten. De Towelroot-exploit die onderzoeker Brandt zag werd als APK-bestand op het toestel gedownload. Android beschikt over een beveiligingsmaatregel genaamd Verify Apps om kwaadaardige apps te blokkeren. Het Duitse anti-virusbedrijf G Data laat aan Security.NL weten dat Verify Apps de Towel Root-exploit kan detecteren en stoppen.
Toch kon de aanval in het geval van Brandt gewoon plaatsvinden. Dit kwam omdat het APK-bestand met de Towel Root-exploit direct vanuit het browserproces werd aangeroepen, buiten de normale “package installer” om. Op deze manier konden de aanvallers de Verify Apps-controle van Android omzeilen. Via de Towel Root-exploit werd vervolgens de ransomware gedownload en met rootrechten uitgevoerd. Hierdoor was de ransomware niet door een gebruiker met normale rechten te verwijderen. Verder werd het systeem zo aangepast dat de ransomware als eerste werd geladen.
Windows XP
Nadat de technische details van de aanval duidelijk waren besloot Brandt te kijken naar de websites die bij deze aanval en mogelijk ook andere aanvallen betrokken waren, alsmede naar slachtoffers van deze drive-by download. De onderzoeker was naar eigen zeggen geschokt dat niemand de aanval eerder had waargenomen en dat er zo lauw op werd gereageerd. “Dit hield namelijk in dat oudere Androidversies eigenlijk Windows XP aan het worden zijn. Ze blijven kwetsbaar, zullen nooit updates ontvangen en de gebruikers van deze apparaten blijven ze gebruiken totdat ze stuk gaan.” Hierdoor ontstaat er volgens Brandt een gevaarlijk platform dat permanent kwetsbaar is en continu op verschillende manieren kan worden aangevallen.
Ook al was de gebruikte ransomware niet bijzonder, de aanval en gebruikte code zaten zeer professioneel in elkaar. Volgens Brandt leek het dan ook op een testrun, waarbij de lading door elke willekeurige Androidmalware uiteindelijk kon worden vervangen. Het onderzoek naar de gebruikte domeinen bij de aanval wees uit dat de aanval in oktober vorig jaar al was begonnen. Aan de hand van het verkeer dat met de domeinen werd uitgewisseld werd duidelijk dat de aanvallers dezelfde maand hun eerste succesvolle infectie te pakken hadden.
In de weken die volgden verfijnden de aanvallers hun tactieken, maar pasten de aanval op een beperkte schaal toe. Wel bleek uit het verkeer dat verschillende Androidversies besmet raakten, waaronder versie 4.4.4, dat nog steeds een zeer groot marktaandeel heeft. Het aantal besmette toestellen passeerde in de maanden van oktober tot april de 500. Het ging ook nog eens om 224 verschillende soorten modellen, wat het bereik van de aanval aantoont. Nadat Blue Coat in april het onderzoek over de aanval had gepubliceerd verdwenen de aanvallers opeens. Alle gebruikte domeinen werden verlaten en kregen geen verkeer meer. Ook stopten ze met het verspreiden van de exploit. “De aanvallers hadden door dat ze waren betrapt”, laat Brandt weten.
Hoewel het aantal slachtoffers in vergelijking met veel andere aanvallen laag is, denkt de onderzoeker dat het hier om een “proof of concept” ging om te kijken of drive by-downloads op het Androidplatform de moeite waard zijn. Gezien het resultaat en de effectiviteit van drive-by downloads verwacht Brandt dan ook dat er meer van dit soort aanvallen zullen plaatsvinden en het gebruik van ongepatchte Androidtoestellen steeds gevaarlijker wordt.
Oplossing
Gebruikers van een niet meer ondersteund toestel kunnen verschillende maatregelen nemen om het risico van een aanval te verkleinen. De belangrijkste stap is het installeren en gebruiken van een andere browser. De aanval die Brandt waarnam vereist het gebruik van de standaard Androidbrowser. Google Chrome en Firefox, te downloaden via de Play Store, zijn niet kwetsbaar voor deze specifieke exploit. Brandt waarschuwt dat de aanval die hij op zijn toestel waarnam tegen Android 4.2.2 was gericht. De aanvallen tegen Android 4.4.4 maakten van een andere exploit gebruik. Welke exploit dit is, is op het moment nog onbekend aangezien het verkeer niet kon worden geanalyseerd. De onderzoeker is er zo goed als zeker van dat de aanvallers op deze toestellen de Androidbrowser-exploit niet gebruikten, aangezien deze versie niet over de standaard Androidbrowser beschikt. Er moet dan ook een ander beveiligingslek zijn aangevallen. Een andere oplossing voor gebruikers van een ouder Androidtoestel is het installeren van een aangepaste versie van het Androidbesturingssysteem, zoals Cyanogenmod. Dit is echter niet voor alle modellen mogelijk.
“Naarmate er meer Android-exploits worden ontdekt zullen aanvallers daar gebruik van maken”, gaat Brandt verder. Vorig jaar september liet Google weten dat er 1,4 miljard actieve Androidgebruikers zijn. Een aantal dat mogelijk nu al naar 2 miljard is opgelopen. Volgens cijfers van Google zit 49,3% van alle Androidtoestellen op Android 4.4 of ouder. Niet alle gebruikers in deze groep zullen de standaardbrowser gebruiken, maar gezien het feit dat veel Androidtoestellen geen updates meer ontvangen stelt Brandt dat drive-by downloads ook een probleem voor Androidgebruikers zullen worden. “Je loopt nu met een kleine tijdbom rond”, zegt de onderzoeker over ongepatchte toestellen.
“Het probleem is dat deze apparaten voor zeer persoonlijke zaken en vaak voor langere tijd worden gebruikt, en mensen geven ze uiteindelijk door. Dat is geen oplossing voor het probleem dat fabrikanten technisch verantwoordelijk zijn voor het uitbrengen van updates. Er is echter geen verplichting voor ze om dit te doen.” Het gaat daarbij niet alleen om oudere apparaten. Brandt merkt op dat hij afgelopen kerst nog een tablet met Android 4.4.4 heeft gekocht, maar het apparaat inmiddels al niet meer wordt ondersteund. “Dit blijft een probleem totdat fabrikanten standaard nieuwere versies gaan installeren en ondersteunen.”

 

 

Bron


Over de auteur

admin

Sinds 1995 werkzaam in de IT

Geef een reactie

%d bloggers liken dit: