Schädliche Skripts nutzen Schwachstellen in den Versionen 4.1.x und älter aus
Die Experten von Kaspersky Lab sind auf ein ungewöhnliches Verhalten eines gefährlichen Skripts gestoßen, das beim Aufruf infizierter Webseiten eine Gefahr für Android Geräte darstellen kann [1]. Ursprünglich wurde das Skript für den Download von Flash-Exploits für Attacken gegen Windows-Nutzer konzipiert. Inzwischen wurde das Skript so verändert, dass es den Typ des Geräts erkennen kann. Es hat besonders ältere Android-Versionen im Visier.
Eigentlich ist es für Cyberkriminelle schwieriger, ein Android-Gerät als einen Windows-Rechner zu infizieren. Für letztere wird nämlich keine Interaktion des Anwenders benötigt, um mit Hilfe von Schwachstellen schadhaften Code zur Ausführung zu bringen. Man spricht hier von einem Drive-by-Download. Dagegen müssen Nutzer von Android-Geräten jede Installation einer neuen Anwendung explizit bestätigen. Jedoch kann dies durch Schwachstellen im Betriebssystem umgangen werden. Dieser Fall ist jetzt in der Praxis eingetreten, wie die Experten von Kaspersky Lab herausgefunden haben.
Der gefundene Code besteht aus Skripts mit bestimmten Browser-Anweisungen. Das erste Skript wurde entdeckt, weil es speziell nach Geräten mit älteren Android-Versionen Ausschau hält. Ein zweites Skript kann SMS-Kurznachrichten an jegliche Mobilnummern versenden und ein drittes Skript ist in der Lage, einen schadhaften Trojaner auf der SD-Karte des Geräts zu installieren, welcher wiederum SMS versenden und abfangen kann. Alles passiert unbemerkt von den Nutzern, die sich die Schadsoftware alleine über den Besuch infizierter Webseiten zuziehen.
Alte Schwachstellen werden oft nicht mehr geflickt
Die Malware nutzt drei bereits bekannte Schwachstellen des Betriebssystems Android in der Version 4.1.x und älter: CVE-2012-6636, CVE-2013-4710 und CVE-2014-1939 [2]. Sie wurden zwar von Google zwischen 2012 und 2014 beseitigt, doch sind sie für ältere Android-Geräte nach wie vor riskant, da viele Hersteller Sicherheitsupdates dafür zu langsam oder gar nicht mehr anbieten.
„Die von uns gefundenen Exploits sind keineswegs neu, sondern beruhen auf von Experten veröffentlichten Machbarkeitsstudien“, erklärt dazu Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. „Anbieter von Android-Geräten müssen wissen, dass solche Veröffentlichungen unausweichlich auch Kriminelle auf den Plan rufen. Die Geräte müssen dann unbedingt mit Sicherheitsupdates geschützt werden, auch wenn sie schon länger nicht mehr im Handel sind.“
-
Kaspersky-Sicherheitstipps
- Die Software Android-basierter Geräte sollte immer auf den neuesten Stand sein und nach Möglichkeit automatisch aktualisiert werden.
- Besonders bei Android-Geräten, die auch dienstlich genutzt werden, dürfen nur Apps aus dem offiziellen Store von Google Play installiert werden.
- Sicherheitslösungen wie Kaspersky Internet Security for Android [3] oder die Unternehmenslösung Kaspersky Mobile Security [4] erkennen, falls die SD-Karte der Geräte verändert werden soll und bieten so einen Echtzeitschutz gegen die beschriebenen Drive-by-Attacke.
Die Experten von Kaspersky Lab empfehlen folgende Maßnahmen, um sich vor dieser Art der Drive-by-Attacke zu schützen:
Mehr Informationen zu den Angriffen auf ältere Android-Geräte bietet der Blog „Results of PoC Publishing“: https://securelist.com/blog/research/74724/results-of-poc-publishing/
[1] https://securelist.com/blog/research/74724/results-of-poc-publishing/
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6636 / http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4710 / http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1939
[3] http://www.kaspersky.com/de/android-security
[4] http://www.kaspersky.com/de/enterprise-security/mobile