So stoppen Sie die Bedrohung durch Android-Rooting-Malware-Angriffe mit RASP

Eines der wichtigsten Sicherheitsprobleme für Unternehmen, die Android-Geräte unterstützen, ist das Risiko, Malware zu rooten. Eine Reihe von Malware-Familien unter dem mobilen Android-Betriebssystem versuchen, nach der Installation Root-Zugriff zu erhalten, da die erworbenen erhöhten Berechtigungen nützlich sind, um böswillige Aktivitäten auszuführen. Es gibt jedoch eine Möglichkeit, Rooting zu erkennen und Benutzer Ihres Unternehmens und mobiler Anwendungen vor böswilligen Angriffen zu schützen. Selbstschutz der Laufzeitanwendung (RASP) .

Lesen Sie weiter, um zu erfahren, wie zwei gängige Android-Malware-Familien, Tordow v2.0 und Pegasus (oder Chrysaor), Root-Mobilgeräte und wie die RASP-Technologie zum Schutz beitragen kann. Die in diesem Artikel vorgestellten Untersuchungen wurden von Ludovic Joly vom OneSpan Security Competence Center durchgeführt.

Was Sie über Tordow v2.0 und Pegasus wissen müssen

Die Tordow v2.0-Malware-Familie wurde erstmals Ende 2016 entdeckt und ist eine Art Android-Banking-Trojaner, der versucht, dem Benutzer des infizierten Geräts Geld zu stehlen, indem er Bankdaten stiehlt, Geld per SMS überträgt und seine Ransomware-Funktionen nutzt.

Auf der anderen Seite ist Pegasus für Android eine Stealth-Spyware, die zur Überwachung von Überwachungszielen entwickelt wurde. Es wird angenommen, dass sie vom rechtmäßigen Abfanganbieter NSO Group entwickelt wurde. Pegasus kann verwendet werden, um ein Gerät per SMS fernzusteuern, Daten aus häufig verwendeten Kommunikations- und Social-Media-Apps zu filtern, Audio und Bilder mit dem Mikrofon und der Kamera des Geräts aufzunehmen und Screenshots und mehr aufzunehmen. Diese Spyware ist so heimlich, dass Proben davon nur von gemeinsamen Arbeitsteams von Lookout und Google gefunden und analysiert werden konnten.

Verwenden von Framaroot, um Root-Zugriff zu erhalten

Beide Malware-Familien können das von ihnen infizierte Gerät rooten, sodass Benutzer von Geräten und / oder Apps privilegierte Kontrolle oder Root-Zugriff über Android-Subsysteme erhalten. Da Android den Linux-Kernel verwendet, bietet das Rooten eines Android-Geräts einen ähnlichen Zugriff auf Administratorrechte (Superuser) wie unter Linux oder einem anderen Unix-ähnlichen Betriebssystem. Mit Administratorrechten können die Malware-Beispiele eine viel größere Bandbreite schändlicher Aktionen ausführen, z. B. auf die Daten anderer Apps zugreifen, Tastenanschläge aufzeichnen oder SMS-Nachrichten lesen.

Das Reverse Engineering einiger Beispiele dieser Malware-Familien zeigt, dass sie sich auf die in Framaroot enthaltenen Exploits verlassen, um Root zu werden. Framaroot, das sich selbst als One-Click-App zum Rooten einiger Geräte bezeichnet, macht genau das, was es behauptet, und funktioniert für eine Vielzahl von Geräten mit Android 2 bis 4. In der Praxis wird Framaroot von den meisten Malware-Familien zum Rooten verwendet.

In der Tat enthalten einige Tordow v2.0-Beispiele das eigentliche Framaroot-Framework:

Pegasus verwendet auch Framaroot, da es mit der sucopier-Datei geliefert wird, der öffentlich verfügbaren Framaroot-Exploit-Binärdatei.

Was passiert nun, nachdem einer der Exploits von Framaroot erfolgreich auf einem Gerät ausgeführt wurde? Um nachfolgende Root-Zugriffe durch die Malware zu vereinfachen, wird eine su-Binärdatei in ein Verzeichnis geschrieben, von wo aus sie später ausgeführt werden kann. In unserem Kontext wird eine su-Binärdatei, die manchmal als Superuser bezeichnet wird, verwendet, um Befehle mit den Superuser-Berechtigungen auszuführen.

Im Fall von Pegasus befindet sich die su-Binärdatei (die cmdshell-Datei in der apk) unter / system / csk im Dateisystem. Dieser ungewöhnliche Ort gewährt der Malware die Exklusivität des Root-Zugriffs und garantiert, dass sie verborgen bleibt.

Schutz vor Rooting von Malware mithilfe der RASP-Technologie

Zu Schützen Sie mobile Geräte vor dem Rooten von Malware Unternehmen sollten sich auf die Anwendungsschicht konzentrieren. Eine wichtige Möglichkeit hierfür ist der Runtime Application Self-Protection (RASP), mit dem Apps während der Ausführung geschützt werden, indem Sicherheitsmechanismen wie Integritätsschutz, Debugging-Verhinderung, Root-Erkennung und mehr bereitgestellt werden. RASP bietet eine erweiterte Stammerkennung, um das Vorhandensein von Binärdateien wie in Tordow v2.0 und Pegasus zu erkennen.

Von seiner Position innerhalb der Anwendung aus versteht RASP den Datenfluss und die Arbeitslogik der App und überwacht und analysiert kontinuierlich die Anwendungsausführung im Hintergrund. Dies bedeutet, dass RASP auch weiß, wann die Anwendung bedroht ist.

Wenn ein Benutzer eine App ausführt, die mit RASP auf einem Gerät geschützt ist, das zunächst nicht gerootet ist, aber durch eine Infektion mit Malware gerootet wird, ergreift RASP Maßnahmen zum Schutz der App und des Benutzers. Beispielsweise könnte RASP den Benutzer über eine Warnmeldung informieren, das Informationssicherheitsteam der Organisation benachrichtigen oder die App beenden.

Malware-Angriffe auf Android-Geräte unterstreichen die Notwendigkeit von Technologien wie RASP, die einen One-Stop-Schutz gegen das Rooten von Malware bieten. Es ist wichtig, dass die Root-Erkennungs- und -Präventionsfunktionen der RASP-Technologie kontinuierlich aktualisiert werden, indem sie gegen Root-, Root-Cloaking- und Malware-Anwendungen getestet werden. Dies ist wichtig, um sicherzustellen, dass RASP der fortschrittlichsten Rooting-Malware immer einen Schritt voraus ist. Um mehr über RASP zu erfahren, laden Sie es herunter Ein Whitepaper darüber, warum RASP für die Sicherheit mobiler Apps von entscheidender Bedeutung ist .