Android-Icons können von Hackern ausgenutzt werden, indem sie eine Schwachstelle verwenden, um den Benutzer beim Klicken auf eine Phishing-Website zu leiten – FireEye

FireEye hat berichtet, dass es kürzlich eine bösartige Android-Anwendung entdeckt hat, die die Icons anderer Apps auf dem Android-Smartphone oder -Tablet des Benutzers ändern könnte. Sobald die Icons geändert wurden, würde der Benutzer, wenn er darauf klickt, auf eine Phishing-Website geleitet.

Der Blogbericht von FireEye, verfasst von den Sicherheitsforschern Hui Xue, Yulong Zhang und Tao Wei, besagt, dass die bösartige App eine Reihe von Berechtigungen missbraucht hat, um die Konfigurationseinstellungen des Standard-Launchers von Android und die Icons zu ändern.

Die Malware missbraucht eine Reihe von Berechtigungen, die als „com.android.launcher.permission.READ_SETTINGS“ und „com.android.launcher.permission.WRITE_SETTINGS“ bekannt sind.

• Laut den FireEye-Forschern wurden die oben genannten zwei Berechtigungen lange Zeit als „normal“ klassifiziert, eine Bezeichnung, die Anwendungen gegeben wird, von denen angenommen wird, dass sie keine bösartigen Möglichkeiten haben. Daher sind diese Berechtigungen nicht im Standardset von Berechtigungen enthalten, die ein Android-Benutzer akzeptieren muss, wenn er eine neue App installiert.*

• Diese „normale“ Bezeichnung, die vom Android-Betriebssystem vergeben wird, ist das Schlupfloch, das die Autoren der Malware genutzt haben, um diese spezielle bösartige App zu schreiben. Dort hat die bösartige App „diese normalen Berechtigungen verwendet“ und legitime Android-Startbildschirm-Icons durch gefälschte ersetzt, die auf Phishing-Apps oder -Websites verweisen“, schrieben sie.*

• Die Autoren haben weiter gesagt, dass FireEye einen Proof-of-Concept-Angriff entwickelt hat, der das Google Nexus 7-Tablet mit der Android-Version 4.2.2 verwendet, um zu zeigen, dass Icons geändert werden könnten, um Menschen auf eine andere Website zu leiten. FireEye konnte die Sicherheitsüberprüfungen von Google umgehen und die App, die sie „ThisIsATestApp“ nannten, im Google Play Store hochladen, die sie nach Bestätigung ihres Proof of Concept entfernt haben.*

Der Google Play Store, der Apps auf Sicherheitsprobleme überprüft, insbesondere nach dem Auftreten gefälschter Apps im Google Play, betrachtete die App als legitim und stellte sie im Google Play zur Verfügung. FireEye fügte hinzu, dass niemand die PoC-App für den kurzen Moment heruntergeladen hat, in dem sie im Google Play Store gelistet war.

• FireEye hat Google im Oktober 2013 den Proof of Concept bezüglich dieser Schwachstelle bereitgestellt, und Google hat im Februar 2014 einen Patch herausgegeben, um diese Schwachstelle zu beheben, sagt FireEye. Google hat den Patch an alle seine OEM-Partner ausgegeben, da dies in das Update selbst aufgenommen werden muss, aber FireEye sagt, dass nicht alle OEMs schnell genug sind, um Sicherheitsupdates zu upgraden und bereitzustellen. Das bedeutet, dass mehrere Android-Smartphones, die auf dem Stock-ROM laufen, weiterhin anfällig für diese bösartige App sind.*

• FireEye sagt, dass selbst die weltweit verfügbaren Custom ROMs die oben genannten Berechtigungen als legitim behandeln, wodurch selbst Android-Smartphones, die mit CyanogenMod betrieben werden, anfällig für diesen Angriff sind. FireEye testete ein Nexus 7, das auf CyanogenMod Custom ROM läuft, sowie ein Samsung Galaxy S4, das Android 4.3 und ein HTC One, das 4.4.2 ausführt. Alle klassifizieren die Berechtigungen „read_settings“ und „write_settings“ als normal.*

• FireEye hat jeden Android-Anbieter aufgefordert, die Android-OEM-Version mit dem Sicherheitspatch zu aktualisieren. Die echte Gefahr besteht darin, dass Angreifer das Icon einer Banking-Anwendung ändern und Benutzer dazu bringen könnten, sensible Informationen wie ihre Bankkontodaten auf einer gefälschten Website preiszugeben, die sie erstellt haben.*

Resource : FireEye Blog