4min

Een van de belangrijkste beveiligingsvraagstukken voor organisaties die Android-apparaten ondersteunen, is het risico op rooting malware. Een aantal malwarefamilies mikken, eenmaal geïnstalleerd, op toegang tot het root-account van het Android mobiele besturingssysteem omdat de hogere privileges handig zijn om kwaadaardige activiteiten uit te voeren. Er bestaat echter een manier om rooting op te sporen en uw organisaties en gebruikers van mobiele applicaties te beschermen tegen zulke kwaadaardige aanvallen, het zogenaamde Runtime Application Self-Protection (RASP).

Lees verder hoe twee veel voorkomende Android-malwarefamilies, Tordow v2.0 en Pegasus (of Chrysaor), toegang tot het root-account van mobiele apparaten krijgen en hoe RASP-technologie hiertegen kan helpen. Het onderzoek dat in dit artikel gepresenteerd wordt, werd uitgevoerd door Ludovic Joly, Security Analyst bij VASCO’s Security Competence Center.

Wat u over Tordow v2.0 en Pegasus moet weten

De Tordow v2.0 malwarefamilie werd eind 2016 voor het eerst ontdekt. Het is een soort Android Trojaans paard voor bankapps dat van de gebruiker geld probeert te stelen door via het geïnfecteerde apparaat bankgegevens in handen te krijgen, geld te verzenden via sms en zijn ransomware-mogelijkheden te benutten.

Pegasus for Android, aan de andere kant, is een stealth spyware die ontworpen is om het slachtoffer te monitoren. Er wordt aangenomen dat het door de legale interceptleverancier NSO Group ontwikkeld werd. Pegasus kan gebruikt worden om een ​​apparaat via SMS op afstand te beheren, om gegevens uit algemeen gebruikte communicatie- en sociale media-apps op te halen, om audio en afbeeldingen op te nemen via de microfoon en camera van het apparaat en om screenshots en dergelijke vast te leggen. Deze spyware is zo moeilijk op te sporen dat voorbeelden ervan alleen gevonden en geanalyseerd konden worden door een gezamenlijke inspanning van beveiligingsteams bij Lookout en Google.

Framaroot gebruiken om root-toegang te verkrijgen

Beide malwarefamilies zijn in staat om het apparaat dat ze infecteren te rooten, waardoor de gebruikers van het apparaat en/of apps toegang krijgen tot de bevoorrechte controle over de root-toegang via Android-subsystemen. Aangezien Android de Linux-kernel gebruikt, geeft het rooten van een Android-apparaat toegang tot dezelfde rechten die de beheerder (superuser) in Linux of een ander Unix-achtig besturingssysteem heeft. Door deze beheerdersrechten kan de malware een veel groter aantal schadelijke acties uitvoeren, zoals toegang verkrijgen tot gegevens van andere apps, opnemen wat er wordt ingetypt of sms-berichten lezen.

Reverse-engineering van enkele voorbeelden van deze malwarefamilies laat zien dat ze berusten op de mogelijkheden die Framaroot biedt om zo toegang tot de root proberen te krijgen. Framaroot beschrijft zichzelf als één-klikmethode voor het rooten van sommige apparaten en doet precies dat; het werkt op een breed scala aan apparaten die Android 2 tot 4 geïnstalleerd hebben. In de praktijk wordt Framaroot door de meeste malwarefamilies gebruikt voor het rooten.

Sommige voorbeelden van Tordow v2.0 bevatten inderdaad het eigenlijke Framaroot-framework:

Pegasus gebruikt ook Framaroot, omdat het samen met het sucopier-bestand komt, de publiek beschikbare Framaroot binaire exploit.

Wat gebeurt er nu nadat een van de exploits van Framaroot met succes is uitgevoerd op een apparaat? Om de daaropvolgende root-toegang door de malware te vergemakkelijken, wordt een su binary op de directory geschreven, vanwaar het later kan worden uitgevoerd. In onze context wordt een su binary, soms als supergebruiker omschreven, gebruikt om bevelen uit te voeren met de rechten van de supergebruiker.

In het geval van Pegasus is de su binary (het cmdshell-bestand in de apk) gelegen op /system/csk van het bestandssysteem. Deze ongebruikelijke locatie verleent de malware de exclusiviteit van root-toegang en zorgt ervoor dat het verborgen blijft.

Bescherming tegen rooting malware via RASP-technologie

Om mobiele apparaten tegen rooting malware te beschermen, moeten organisaties zich concentreren op de applicatielaag. Een belangrijke manier om dit te doen is met Runtime Application Self-Protection (RASP), die uitgevoerde apps beschermt door beveiligingsmechanismen te bieden, zoals integriteitsbeveiliging, debuggingpreventie, rootdetectie en meer. RASP biedt geavanceerde rootdetectie om de aanwezigheid van binaire bestanden te detecteren, zoals die in Tordow v2.0 en Pegasus.

Vanuit haar plaats binnen de applicatie begrijpt RASP de datastromen en werklogica van de app en wordt de applicatie-uitvoering continu op de achtergrond bewaakt en geanalyseerd. Dat betekent dat RASP ook weet wanneer de applicatie in gevaar komt.

Als een gebruiker een app gebruikt die met RASP beschermd is op een aparaat dat bij het begin niet geroot is maar door infectie met malware geroot wordt, dan zal RASP actie ondernemen om de app en gebruiker te beschermen. RASP kan de gebruiker bijvoorbeeld door een waarschuwingsbericht informeren, het beveiligingsteam van de organisatie waarschuwen of de app beëindigen.

Malware-aanvallen tegen Android-apparaten laten duidelijk de noodzaak zien van technologie zoals RASP, die een one-stop bescherming biedt tegen rooting malware. Het is belangrijk dat de rootdetectie- en preventie-eigenschappen van de RASP-technologie continu worden bijgewerkt door haar werking tegen wortel-, root-cloaking- en malwaretoepassingen te testen. Dit is cruciaal om ervoor te zorgen dat RASP de meest geavanceerde rooting malware voorblijft. Voor meer informatie over RASP, download een whitepaper over de reden waarom RASP cruciaal is voor het beveiligen van mobiele apps.

Dit is een ingezonden bijdrage van Frederik Mennes, Senior Manager Market & Security Strategy, Security Competence Center bij VASCO Data Security. Via deze link vind je meer informatie over de oplossingen van het bedrijf.