Biometrie ist sicherer – wie Malware Android-Nutzer ausraubt

Dieser Beitrag wurde von einer großartigen Präsentation von Jan Seredynski auf der THS 2023 inspiriert.

Cybersicherheit ist keine binäre Angelegenheit – es gibt keine Lösungen, die 100% Sicherheit garantieren. Tatsächlich geht es eher darum, Risiken einzuschätzen und Lösungen zu wählen, die weniger anfällig für Angriffe sind. Ein Beispiel für eine solche Bewertung im Kontext des Bankwesens ist die Tatsache, dass die Bestätigung von Transaktionen über mobile Apps sicherer ist als die Verwendung von SMS-Codes, obwohl auch hier effektive Angriffsmethoden auftreten können. Dies können beispielsweise gefälschte Apps sein, die sich als Bank-Apps ausgeben, sowie solche, die Exploits (z. B. Pegasus) nutzen. Einer der interessanteren Angriffe auf das mobile Banking basiert jedoch auf der Installation einer scheinbar harmlosen App auf dem Telefon des Opfers, die die Berechtigungen von Android missbraucht.

Der Infektionsprozess beginnt oft damit, dass das Opfer eine App aus einer unzuverlässigen Quelle installiert. Dies wird durch Informationen ermutigt, dass diese Version, die installiert wird, Premium-Funktionen kostenlos freischaltet.

youtube premium malware
duolingo premium malware

Leider kommt es auch vor, dass Apps im offiziellen Google Play Store bösartig sind. Anfangs enthalten sie keine schädlichen Funktionen, sondern erhalten diese in späteren Updates. Cyberkriminelle erstellen Apps mit scheinbar harmlosen Zwecken. Beispielsweise eine einfache Taschenlampen-App oder ein Werkzeug zur Kamerabedienung. Solche Apps fordern Berechtigungen für verschiedene Funktionen auf dem Gerät an. Sie funktionieren mehrere Monate lang wie angegeben, ohne Probleme zu verursachen. Benutzer geben ihnen oft positive Bewertungen, was den Ruf der App stärkt und weitere Nutzer zur Installation ermutigt. Nach einiger Zeit modifizieren Cyberkriminelle die App jedoch, indem sie schädlichen Code hinzufügen oder Berechtigungen ändern, um Daten zu stehlen. Diese verzögerte Hinzufügung von schädlichem Code ermöglicht es den Kriminellen, den Überprüfungsprozess im Google Play Store erfolgreich zu durchlaufen.

latarka malware w google play

Wie funktionieren Bedienungshilfen und Overlays im Kontext von Malware?

Bedienungshilfen (Accessibility Services) ermöglichen unter anderem das Vorlesen von auf dem Telefonbildschirm angezeigten Informationen sowie das Ausfüllen von Formularfeldern für den Benutzer.

działanie ułtawień dostępu

Eine bösartige App kann durch die Nutzung von Accessibility-Mechanismen, die für Menschen mit Behinderungen gedacht sind, alles registrieren, was auf dem Bildschirm passiert, und Zugang zu eingegebenen Codes erhalten. Dadurch kann sie das Passwort für die mobile App erfahren und eigenständig Überweisungen einleiten und bestätigen. Die Vergabe verdächtiger Berechtigungen erfolgt durch die Nutzung eines weiteren cleveren Tricks, sogenannter Bildschirm-Overlays (Overlay). Der Benutzer ist sich oft nicht einmal bewusst, dass er gefährliche Berechtigungen akzeptiert.

Ein Beispiel für „Overlay Services“ ist das Popup, das mit einer Nachricht vom Messenger erscheint.

działanie dymków facebook

Im unten gezeigten Szenario überdeckt das Overlay eines gefälschten Bildschirms einen Teil des echten Bildschirms (um ihn vor den Augen des Benutzers zu verbergen) und fordert das Opfer dann auf, Informationen einzugeben (normalerweise vertrauliche Daten wie Bankdaten, PINs oder Antworten auf Sicherheitsfragen). Das Opfer denkt, dass es seine vertraulichen Informationen in einer vertrauenswürdigen App eingibt, sendet sie jedoch tatsächlich direkt an den Angreifer.

jak malware wykradana przez nakładki dane dostępowe użytkownika

Das Ziel dieser Variante von Overlay-Angriffen sind oft mobiles Banking, Fintech, E-Commerce, Spiele oder Einzelhandelsanwendungen. Sobald der Angreifer die Transaktions-PIN kennt, kann er, indem er die Accessibility-Services nutzt, bei der Öffnung der echten Banking-App automatisch auf diese zugreifen, Überweisungen einleiten und bestätigen.


Beispiele realer bisheriger Angriffe

  • BrasDex ist eine Art Malware, die sich auf die Angriffe auf Android-Systeme konzentriert, mit besonderem Augenmerk auf Banking-Apps in Brasilien. Sobald das Gerät infiziert ist, identifiziert und attackiert BrasDex nur ausgewählte Apps. Es nutzt die Accessibility-Funktionen von Android, um den Bildschirm zu überwachen, Berührungen zu steuern, die Tastatur zu bedienen und andere bösartige Aktionen durchzuführen. Das Hauptziel von BrasDex ist es, Anmeldedaten während der Nutzung von Banking-Apps zu stehlen und Transaktionen ohne Wissen des Benutzers durchzuführen.
brasdex
  • ERMAC 2.0 ist ein Trojaner für die Android-Plattform, der Daten stiehlt und diese an Cyberkriminelle weiterleitet. Die Diebe nutzen diese Daten, um Bank- und Kryptowährungskonten der Opfer zu übernehmen und verschiedene Betrügereien durchzuführen. Ein typisches Beispiel für seine Funktionsweise war eine gefälschte App, die auf einer legitimen Website eines Lebensmittelanbieters zu finden war. Diese gefälschte App forderte bis zu 43 Berechtigungen, darunter Zugriff auf Accessibility-Services und Overlays, was das Stehlen von Anmeldedaten ermöglicht.
ermac
  • Xenomorph ist eine Malware, die weiterhin in Angriffen verwendet wird, obwohl sie vor über zwei Jahren debütierte. Anfangs wurde sie über den Google Play Store als Leistungsverbesserungs-App verbreitet. Benutzer, die diese Apps installierten, infizierten unwissentlich ihre Geräte, in der Annahme, dass die Leistungsverbesserung so umfassende Berechtigungen erfordern würde. Xenomorph hat die Fähigkeit, Textnachrichten abzufangen, was das Sammeln von Daten erleichtert, die zur Bestätigung von Transaktionen verwendet werden. Zudem nutzt er die Berechtigungen der Accessibility-Services, um diskrete Overlays auf dem Bildschirm zu erstellen.
xenomorph

Tipps für Entwickler zur Abwehr von Malware, die Accessibility-Services nutzt:

  • Blockiere alle Accessibility-Services: Diese Option ist am wenigsten benutzerfreundlich für Menschen mit verschiedenen Behinderungen, aber sie ist eine der einfachsten Möglichkeiten, sich vor Missbrauch von Berechtigungen zu schützen.
  • Erlaube nur Dienste von der Whitelist: Ein benutzerfreundlicherer Ansatz für Accessibility, der eine API nutzt, um alle Accessibility-Services aufzulisten, deren Paket-IDs zu identifizieren und es nur bestimmten vertrauenswürdigen Diensten zu erlauben, über die App zu laufen. Allerdings können von außen installierte Apps jede Paket-ID nachahmen, sodass dieser Schutz nur vor Bedrohungen aus dem Google Play Store schützt.
  • Erlaube Dienste mit angemessenen Berechtigungen: Du kannst ein Flag (android:importantForAccessibility) verwenden, das wichtige Benutzeroberflächenelemente für Accessibility-Services identifiziert. Setze es auf „false“ für alle sensiblen Felder in deiner App und beschränke Accessibility-Services, die Interesse am Lesen unwichtiger Felder bekunden. Du kannst dies tun, indem du die Flag-Eigenschaft des Dienstes überprüfst und FLAG_INCLUDE_NOT_IMPORTANT_VIEWS validierst.
  • Nutze Biometrie und Systemdialoge: Die Anforderung und Nutzung biometrischer Authentifizierung für wichtige Transaktionen kann helfen, die Nutzung von Accessibility-Services durch Cyberkriminelle zu verhindern, um unautorisierte Transaktionen in der App des Benutzers durchzuführen. Die Anforderung, Transaktionen auch über die App mithilfe von Systemdialogen durchzuführen, kann effektiv Overlays blockieren. Neue Android-Versionen erlauben keine Overlays auf Systemfenstern.
  • Nutze Android API 34: Dieses Update stellt sicher, dass nur verifizierte Accessibility-Dienste Zugriff auf sensible Informationen in der App haben können.

Empfehlungen zur Erkennung von Overlays

Google hat mehrere nützliche APIs eingeführt, um bei der Erkennung und Bekämpfung von Angriffen durch Malware, die Overlays nutzt, zu helfen:

  • API 9: Wenn die Touch-Filter-Option aktiviert ist (setFilterTouchesWhenObscured(boolean)), ignoriert das System die Berührungen des Benutzers, wenn das Anzeigefenster durch ein Overlay verdeckt ist. In diesem Fall geht es um ein anderes sichtbares Fenster (oder Popup/Toast/Dialog), das sich an der Position der Berührung befindet.
  • API 29: Dieses Update ermöglicht eine genauere Erkennung teilweise verdeckter Berührungen mittels eines Flags (FLAG_WINDOW_IS_PARTIALLY_OBSCURED), das anzeigt, wann ein Fenster ein Bewegungsevent erhält, das teilweise oder vollständig durch ein anderes sichtbares Fenster verdeckt ist. Es ist wichtig zu beachten, dass das Event mit dem Flag markiert wird, auch wenn die Bewegung nicht direkt durch das Overlay verläuft.
  • API 31: Dieses Update bietet Entwicklern die Option setHideOverlayWindows(true), die Overlays, die nicht systembezogen sind, ausblendet und automatisch entfernt. Derzeit ist dies der effektivste und effizienteste Ansatz.

Als durchschnittlicher Benutzer ist es wichtig zu wissen, dass Accessibility-Services keinen Zugang zu biometrischen Daten haben und diese nicht nachahmen können. Aus diesem Grund wird empfohlen, biometrische Methoden anstelle traditioneller PINs/Passwörter zu verwenden. Das Einloggen in Apps mittels Fingerabdruck oder Gesichtserkennung sowie die Bestätigung von Transaktionen durch diese Methoden sind wesentlich sicherer. Biometrie fügt eine zusätzliche Sicherheitsebene hinzu, da sie einzigartig für jeden Benutzer ist und schwieriger zu kopieren oder zu erlangen ist als traditionelle Passwörter oder PINs. Daher ist die Nutzung biometrischer Technologien, insbesondere im Kontext finanzieller Operationen und des Zugriffs auf wichtige Apps, die weitaus bessere Lösung.

Update 1: Ein gewöhnlicher Leser machte darauf aufmerksam, dass es bereits neue Varianten von Trojanern gibt, die Mechanismen enthalten, um das Opfer dazu zu verleiten, eine andere Authentifizierungsmethode als die Biometrie zu verwenden. Der Trojaner „klickt“ automatisch auf die Schaltfläche „Abbrechen“, wenn er eine biometrische Authentifizierung erkennt und den Benutzer somit indirekt zwingt, alternative Methoden zu verwenden, deren Daten er abfangen kann.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Tagged , , , , , , , .Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert