Eine MilkyDoor getaufte Schadsoftware kann Daten aus Firmennetzen nach draußen schleusen. Laut Trend Micro verwendet die Malware dazu eine verschlüsselte Verbindung (Secure Shell, SSH) über den dafür üblichen, unauffälligen Port 22. Aufgrund der Verschlüsselung der Datentransfers ist es schwierig, die Datenströme zu lesen und eventuellen Diebstahl geistigen Eigentums festzustellen. Darüber hinaus ist SSH-Traffic nichts Ungewöhnliches, so dass die Transfers wahrscheinlich im üblichen Grundrauschen des Netzwerks untergehen.
Auf die Smartphones bugsiert wurde der Schädling wahrscheinlich huckepack durch von den Machern bösartig manipulierte, an sich legitime und populäre Apps aus Googles PlayStore. Darunter Schritt-für-Schritt-Anleitungen für Frisuren, Kinderbücher oder Doodle-Apps. Insgesamt fand Trend Micro die entsprechenden Schadroutinen in mehr als 200 Apps. Eine davon wurde zwischen 500.000 und einer Million Mal installiert.
Zudem bringt MilkyDoor einen SOCKS-Proxy mit. Über diesen können sich die Angreifer von außen hinter dem von der Firewall beschützten Netzwerk umschauen und nach Schwachstellen Ausschau halten. Von all dem bekommt der Anwender des infizierten Android-Geräts nichts mit. Die App fragt bei der Installation nicht nach sensiblen Zugriffen und ist daher unauffällig. Und auch sämtliche von ihr ausgehende und zu ihr fließende Kommunikation sieht auf den ersten Blick harmlos aus.
Letztendlich können Angreifer mit der Hilfe von infizierten Smartphones ganze Firmennetze ausspionieren und Hintertüren für künftige Zugriffe einbauen. Dienste wie FTP oder SMTP lassen sich leicht über den Proxy in der App ansprechen. Die Logindaten für den SSH-Server der Angreifer bekommt die App nach ihrer Installation während des ersten Kontakts mit dem Command & Control-Server zugespielt. Von da an sind alle Datentransfers verschlüsselt.
Schutz vor solchen Angriffen bieten laut Trend Micro an sich nur Malwarescanner auf den Endgeräten, stetige Betriebssystemupdates oder Firewalls mit strengen Regeln, die die erste Kontaktaufnahme des Trojaners zum Command & Control-Server unterbinden.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.