Home / Allgemein / Open Source: „Schläfer“-Malware auf die Schnelle identifzieren

Open Source: „Schläfer“-Malware auf die Schnelle identifzieren

Schläfer

Quelle: Fraunhofer SIT

Hacker und Cyberkriminelle nutzen immer häufiger „Schläfer“-Software, um Schadcode für mobile Geräte in Apps zu verstecken. Diese „schlafende“ Malware tut zunächst einmal nichts. Erst nach einem bestimmten Zeitraum oder festgelegten Aktionen wird sie aktiv, was die Erkennung enorm erschwert. Sicherheitsforscher der TU Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben deshalb das Analysewerkzeug Harvester entwickelt, das Sicherheitsanalysten dabei helfen soll, „Schläfer“-Schadcode in Android-Apps zu enttarnen.

Millionen von Android-Geräten sind bereits mit mobilem „Schläfer“-Schadcode, auch timing bombs genannt, infiziert – auf den ersten Blick scheinen sie normale Software zu sein. Ihr schädliches Potenzial entfalten sie erst nach einer längeren Inkubationszeit.

Für den Smartphone-Besitzer sei es dann schwierig festzustellen, was die eigentliche Ursache dieses zeitverzögerten Angriffs ist. Als aktuelles Beispiel nennen die Sicherheitsforscher den Banking-Trojaner BadAccents: Dabei handelt es sich um einen zweistufigen Schadcode, der beim Herunterladen einer vermeintlichen Raubkopie des Films „The Interview“ aufs Smartphone kommt. Aktiv werden einzelne Komponenten in BadAccents erst unter bestimmten Umständen, etwa wenn das Smartphone per SMS bestimmte Befehle empfängt.

 

Ein Problem auch für Sicherheitsspezialisten

Auch für Sicherheitsanalysten, etwa von Antiviren-Herstellern, sei schlafender Schadcode, der erst unter speziellen Ereignissen ausgelöst wird, ein Problem. Sie müssen jeden Tag mehrere Tausend neue Apps darauf prüfen, ob sie potenziell schädlich sind oder nicht. Daher bleiben für die Analyse jeder App nur wenige Minuten Zeit. Um eine Schläfer-App zu enttarnen, müsste ein Analyst eine solche Untersuchung tagelang ausführen und sämtliche Ereigniskombinationen simulieren, denn im Vorhinein weiß man nicht, was den Schadcode aktiviert.

Um Schläfer-Apps schneller finden zu können, haben IT-Sicherheitsexperten der Technischen Universität Darmstadt und des Fraunhofer SIT das Analysetool Harvester entwickelt. Das Analysewerkzeug nutze eine einzigartige Kombination von Softwareanalyse-Techniken und Codeumwandlung und spare Sicherheitsanalysten damit viel Zeit.

Harvester untersucht nicht den gesamten Code der Original-App, sondern analysiert verdächtige Programmstellen. Die Software nutze hierfür ein spezielles Verfahren der statischen Analyse, „backwards slicing“ oder „program slicing“.

Mithilfe des Tools können Analysten einfach den Teil des Codes herausschneiden, den sie näher untersuchen möchten – alles andere werde kurzerhand weggelassen. Dadurch werde etwaiger Schadcode direkt ausgeführt – programmierte Wartezeiten sowie Ereignisfilter entfallen. Ist Schadcode gefunden worden, könne Harvester außerdem vollautomatisch wichtige Informationen (Ziel-Telefonnummern, Inhalte von SMSen, Entschlüsselungs-Schlüssel, URLs, etc.) aus dem schädlichen Android-Codes extrahieren, mit denen der Analyst auf Art und Quelle der Malware schließen könne. Für die Teilanalyse einer Codestelle benötige Harvester rund eine Minute.

Das Testwerkzeug funktioniere sogar, wenn der Code der schädlichen App stark verschleiert ist oder andere Anti-Analyse-Techniken genutzt wurden. Eine Basisvariante stehe als Open Source-Tool für wissenschaftliche Zwecke zur Verfügung, eine Nutzung durch Privatanwender ist nicht vorgesehen.

Für die kommerzielle Nutzung in Unternehmen sei eine Lizenzierung mit erweiterter Funktionalität verfügbar.

Weitere Infos gibt es hier.

Share

Leave a Reply