Werbe-SDK kann Schadprogramme einschleusen

Bitdefender, führender Hersteller von Antivirus-Software, hat eine neue Betrugsmasche entdeckt, die über die App-Entwicklung funktioniert. Schadprogramme nisten sich hier unbemerkt über SDKs (Software Development Kits) auf das Handy ein und lösen anschließend unerwünschte Anrufe aus oder übertragen den aktuellen Aufenthaltsort des Nutzers.

Die meisten Entwickler verwenden werbefinanzierte SDKs, um kostenlose Apps anbieten zu können. Doch einige SDKs stellen ein Risiko für die späteren App-Nutzer dar. Zum Beispiel lässt sich das Werbe-Framework Widdit aufgrund seiner ungewöhnlichen Installationsstrategie leicht ausnutzen, um ohne Erlaubnis Funktionen zu implementieren. Untersuchungen von Bitdefender zeigen, dass es etwa 1.640 darauf basierende Apps gibt, von denen 1.122 schon wieder entfernt wurden.

Das angebotene Widdit SDK ist ein abgespecktes Download-Programm für das eigentliche SDK. Die erste Kurzvariante fordert alle benötigten Genehmigungen an, teils sogar mehr um sicherzugehen, dass alle Funktionen der späteren Versionen auf dem Mobilgerät einwandfrei funktionieren. Wenn der Nutzer die Anwendung startet, verbindet sie sich mit dem Internet, sucht nach neuen Versionen und lädt sie als JAR-Datei herunter.

„Die im ersten Schritt angezeigten Funktionsfreigaben werden nicht unbedingt vom SDK genutzt, aber möglicherweise von Features, die später in das SDK eingefügt werden“, erklärt Catalin Cosoi, Chief Security Strategist bei Bitdefender. „Unter den verrücktesten Freigaben war zum Beispiel die Erlaubnis, den Sperrbildschirm zu deaktivieren, um Audiomitschnitte zu ermöglichen oder Browser-Verlauf und Bookmarks auszulesen.“

Beim Erstellen von Android Apps sollten Entwickler die entsprechenden Qualitätsrichtlinien von Google beachten. Zum Beispiel sagen die Android App Development Guidelines in der Vorschrift FN-P1, dass eine App nur für die Kernfunktionalität unbedingt notwendige Freigaben anfordern sollte. Denn je mehr erlaubt ist, desto größer ist die mögliche Angriffsfläche.

Ungewöhnliche Eigenschaften

Das SDK kann spezifischen Code ausführen, wenn eines der folgenden Ereignisse auf dem Telefon entdeckt wird: Neustart, SMS-Empfang, Anruf, Installation oder Deinstallation einer App sowie eine Aktion an der GoogleCloudMessaging-Schnittstelle. Bitdefender entdeckte zwei ungewöhnliche Vorgänge bei der Implementierung des Werbe-Frameworks. Erstens findet der Download der JAR-Datei unverschlüsselt über HTTP statt. Zweitens sind keine Sicherheits- oder Integritätschecks im Download-Programm implementiert, die prüfen könnten, ob die JAR-Datei autorisiert ist oder manipuliert wurde. Dies eröffnet zahlreiche Möglichkeiten für Man-in-the-Middle-Angriffe.

„Wir haben für Testzwecke ein betrügerisches Netzwerk mit einem Proxy-Server aufgebaut, das originale Update-Anfragen von Apps abfing, die mit Widdit entwickelt worden waren“, berichtet Cosoi. „Sobald das Download-Programm die Anfrage stellte, lieferte der Proxy-Server eine leicht veränderte JAR-Datei aus, die Funktionen für unerlaubte Anrufe und SMS-Auslesen mit entsprechender Protokollierung der beiden Aktivitäten enthielt. Die heruntergeladene App griff auf die JAR-Datei zu und führte den Schadcode ohne Probleme aus.“

Solche Tricks lassen sich ohne weiteres in der Praxis realisieren. Denn die meisten Android-basierten Geräte sind mobil und verbinden sich fast ständig mit öffentlich zugänglichen WLANs, die häufig nicht ausreichend gesichert sind.

Absicherung von SDKs nötig

Es gibt inzwischen eine so große Vielzahl an Android Apps, weil Werbe-Frameworks größtenteils die Entwicklungskosten übernehmen. Doch häufig sind ihre Funktionen fehlerhaft implementiert, so dass sie von Schadprogrammen ausgenutzt werden können. Da dies häufig unter der Oberfläche geschieht und die Nutzer keine Hinweise darauf erhalten, will Clueful sie transparent über die möglichen Gefahren bei der Installation darauf basierender Apps informieren. Zu den gefährdeten Werbe-Frameworks zählt nicht nur Widdit, sondern auch Vulnia/AppLovin, wie Vlad Bordianu und Tiberius Axinte von Bitdefender kürzlich nachweisen konnten.

Die Sicherheitssoftware Clueful wurde mit der Erkennung von Widdit-basierenden Apps ergänzt. Sie lässt sich direkt auf Google Play herunterladen oder steht als eigenständiges Produkt als Teil von Premium Bitdefender Mobile zur Verfügung.

Weitere Informationen über das Unternehmen und seine Produkte finden Sie unter www.bitdefender.de.