Bei der Abwehr eines DDoS-Angriffs (Distributed Denial of Service) auf die ESET-Infrastruktur haben ESET-Forscher eine bösartige mobile App entdeckt, mit der die Flut von Anfragen an die Website ausgelöst wurde. Der ESET Malware-Forscher Lukas Stefanko hat die App analysiert und kürzlich seine Ergebnisse veröffentlicht. Wir haben mit ihm gesprochen und ein paar weitere Fragen gestellt.

Lukas, der Angriff wurde mit einer mobilen App durchgeführt - ist dies ein häufiger Vektor für DDoS-Angriffe?

Einerseits sind mobile DDoS-Angriffe ziemlich selten. DDoS-Angriffe werden normalerweise immer noch über PCs oder Server durchgeführt. Die Zeiten ändern sich jedoch gerade. Mobile Geräte werden leistungsfähiger und ihre Internetanbindung wird schneller... Wenn ihr Anteil am gesamten Internetdatenverkehr, ich meine im Consumer-Bereich, die von Computern übertreffen wird, dann werden Kriminelle sie noch häufiger für ihre Angriffe verwenden.

Übrigens fehlt in der MITRE ATT&CK-Wissensdatenbank für mobile Malware-Techniken derzeit diese Fähigkeit, einen DDoS-Angriff auszuführen. Wir haben es als neue Technik eingereicht, da wir glauben, dass diese Bedrohung weiter zunehmen wird und die Verteidiger sich dessen bewusst sein sollten.

Der Angriff auf unsere Infrastruktur ist ein gutes Beispiel: Die Kriminellen haben es geschafft, mit ihrer App über fünfzigtausend Installationen zu erreichen, was keineswegs eine geringe Zahl ist. In der Vergangenheit gab es jedoch schon zahlreiche Fälle, in denen mobile Adware Millionen von Installationen erreichte, bevor sie erkannt wurde. Dies zeigt, dass es möglich ist, schnell ein relativ starkes Botnetz aufzubauen.

Kriminelle verfolgen mit ihren Aktionen meist handfeste Ziele. Hast Du eine Ahnung, was ihr Ziel bei diesem DDoS-Angriff war?

Kurz gesagt - nein, wir können nur spekulieren. Unter dem Strich war der einzige Effekt des Angriffs, dass sie ihr Botnetz offengelegt haben. Wir haben die von ihnen verwendete App gemeldet. Sie wurde dann aus dem Play Store entfernt und von den Geräten der Benutzer gelöscht. Zumindest bei denjenigen mit aktivierter Google Protect-Funktion. Praktisch existiert dieses DDoS-Tool nicht mehr.

Also, Game Over?

Nun ... mit ein paar Einschränkungen, ja.

Die App wurde möglicherweise auch aus inoffiziellen App Stores heruntergeladen. Bei diesen gibt es keine Möglichkeit, die Installationen von den infizierten Geräten zu löschen. Außerdem lauert die App möglicherweise noch an einigen Stellen außerhalb des Play Store. Wir haben jedoch keinen solchen Verteilungsmechanismus gesehen, daher ist dies meiner Meinung nach keine echte Bedrohung.

Die Website, die als C&C-Server fungiert, ist weiterhin funktionsfähig. Ohne eine erhebliche Anzahl infizierter Geräte ist die Website jedoch unbrauchbar.

Wie kommt es, dass kein Sicherheitsmechanismus die App erkannt hat, bevor sie im offiziellen Android Store gelistet wurde?

Schau, heute ist die Vielfalt der Apps einfach unvorstellbar. Die Anzahl der Funktionen ist hoch und ihre Kombinationen sind endlos. Trotzdem werden die Apps, die unumwunden bösartig sind, nur in seltenen Ausnahmen abgefangen. In diesem speziellen Fall ist die App, die letztendlich für den Angriff verwendet wurde, per se nicht bösartig. Sie ist allerdings in der Lage, eine definierte Website zu kontaktieren und ein Skript von dort zu laden. Das ist eine Funktion, die in vielen Apps Standard ist, aber dieses Skript hat die App bösartig macht.

Wahrscheinlich sollten alle Apps, die die Funktionalität zum Herunterladen von Inhalten haben, auf die heruntergeladenen Inhalte hin überprüft werden.

Leider ist es nicht so einfach. Denken Sie daran, dass die Downloads der App jederzeit geändert werden können.

Bedeutet dies, dass es keine praktikable Möglichkeit gibt, um zu verhindern, dass sich diese Art von bösartiger App in den Store schleicht?

Obwohl ich keine Details offenlegen werde, haben wir unsere Erkennungssysteme verbessert. Aufgrund unserer Erfahrungen besteht die Möglichkeit, dass wir ähnliche Trojaner an Google melden können.

Angesichts der Tatsache, dass der Schutz eines App Stores niemals wasserdicht sein kann, scheint es wichtig die Endgeräte zusätzlich zu schützen …

Dies ist weder neu noch auf eine bestimmte Plattform beschränkt. Mit der ständig wachsenden Variabilität und Komplexität von Angriffen können Sie sich niemals auf eine einzige Schutzebene verlassen. Idealerweise sollten Sie sich an jedem Punkt der Angriffskette verteidigen - angefangen bei der Sicherung der Quelle bis hin zu den Phasen nach der Ausführung, falls die Malware sie erreicht.

Ich möchte betonen, dass wir basierend auf dem, was wir durch die Analyse dieses Angriffs gelernt haben, unsere Erkennungsmechanismen verbessert haben, einschließlich unserer maschinell lernbasierten Erkennungen.

Ähnliche bösartige Apps sollten also nicht auf Geräte gelangen können, die durch die mobile Sicherheitslösung von ESET geschützt sind?

Im Prinzip ja. Unsere Benutzer sollten vor dieser Bedrohung sicher sein. Die von mir erwähnten Verbesserungen beziehen sich jedoch hauptsächlich auf nachgelagerte Schutztechnologien - was bedeutet, dass die Bedrohung möglicherweise auf das Gerät gelangt.

Nachdem die Malware von unserem Backend-System verarbeitet und die neu erstellten Erkennungen auf die geschützten Geräte übertragen wurden, wird die bösartige App erkannt und dem Benutzer gemeldet.

Vielen Dank für das Gespräch, Lukas!