Check Point ontdekt supply chain malware in Google Play Store

Onderzoekers van security-specialist Check Point hebben onlangs hebben een nieuwe malware-campagne die zich richt op de Google Play Store. De zogeheten SimBad-malware werd in maar liefst 206 applicaties gevonden en werd in totaal bijna 150 miljoen keer gedownload. De nu aangetroffen malware is een klassiek voorbeeld van zogeheten supply chain attacks.

De nu ontdekte malware-campagne SimBad heeft vooral games getroffen en in het bijzonder simulatiegames, zo geeft de security-specialist aan. Concreet werkt de malware eerst als adware die ontelbare advertenties buiten de app vertoont. Hierdoor worden getroffen eindgebruikers blootgesteld aan andere geïnfecteerde apps. De ontwikkelaar van de malware kan ook een bepaalde URL in een browser te openen. Hierdoor kan hij diverse phishing-pagina’s genereren en deze in een browser van zijn slachtoffers openen. Tot slot kan de SimBad-malware zelf apps zoals Google Play en 9Apps openen, wat getroffenen aan nog meer bedreigingen kan blootstellen.

Werking van SimBad

De geïnfecteerde apps gebruiken allemaal de schadelijke ‘RXDrioder’ Software Development Kit (SDK) om hun bewerking uit te voeren. Na de installatie maakt SimBad verbinding met de aangewezen Command and Control (C&C) -server. Vervolgens ontvangt de malware een opdracht om uit te voeren. SimBad kan ongemerkt allerlei acties uitvoeren op de devices van eindgebruikers, zoals het verwijderen van het pictogram uit het opstartprogramma. Hierdoor is het voor eindgebruikers moeilijker om de installatie ongedaan te maken.

Al eerder ontdekten de specialisten van Check Point een groep apps waarbij malware was verborgen in een SDK voor het genereren van betalingen, genaamd SWAnalytics. Deze malware zat in Android-apps die via grote Chinese app stores werden verdeeld. Er zijn tot dusver 12 geïnfecteerde applicaties ontdekt, die samen al 111 miljoen keer zijn gedownload.

Voorbeeld van supply chain attacks

De infectiegraad van de nu ontdekte malware was dermate hoog, omdat de hackers fouten in third part code konden gebruiken. Dit is, zo laat Check Point Techzine weten, een karakteristiek voorbeeld van het gevaar in de nieuwe manier van app-ontwikkeling schuilt. Apps worden tegenwoordig gebouwd met behulp van een complexe keten van externe bibliotheken of open source-componenten. Software-engineers en DevOps-teams gebruiken deze kant-en-klare codes bij het bouwen van hun applicaties. Zij vertrouwen er daarbij op dat code van deze derde partijen veilig is, maar dat is dus niet altijd het geval.

Hackers gebruiken vaker vertrouwde third party code om malware in te laten infiltreren. Dit worden ook wel supply chain attacks genoemd. Hoewel de software supply chain cruciaal is voor het snel en efficiënt bouwen en uitrollen van bedrijfsapplicaties, kan deze werkwijze de security van bedrijven en organisaties dus knap lastig maken.

Bescherming tegen supply chain-aanvallen

Bedrijven en organisaties kunnen zich beschermen tegen dergelijke supply chain-aanvallen door goed in kaart te brengen welke commerciële en open source-producten zij gebruiken. Daarnaast is het verstandig om een zogeheten hygiëne first approach voor de beveiligings architectuur te hanteren, waarbij een organisatie een volledig overzicht heeft van de IT-omgeving om eventuele blinde vlekken te voorkomen. Zeker in het geval waarbij er steeds meer applicaties aan een IT-ecosysteem worden toegevoegd.