Beveiligingsonderzoekers hebben zojuist een enorme supply chain-aanval ontdekt die miljoenen Android-apparaten treft, wat behoorlijk zorgwekkend is. De aanval richt zich op verschillende slimme apparaten, waaronder budgetsmartphones, smartwatches, smart-tv's, enz. Het lijkt erop dat het probleem wordt veroorzaakt door de hevige concurrentie tussen fabrikanten van originele apparatuur (OEM's).
Tijdens hun onderzoek brachten de onderzoekers de kwestie onder de aandacht tijdens een conferentie in Singapore. Ze vonden de oorzaak van dit probleem in de hevige concurrentie tussen Original Equipment Manufacturers (OEM's).
Fabrikanten zijn niet de boosdoener
Interessant is dat smartphonefabrikanten niet alle componenten zelf produceren. Een cruciaal onderdeel, de firmware, wordt vaak uitbesteed aan externe leveranciers. Vanwege de dalende prijzen van firmware voor mobiele telefoons vonden deze leveranciers het echter moeilijk om geld te verdienen met hun producten.
Bijgevolg ontdekten de onderzoekers dat sommige firmware-images extra, ongewenste elementen bevatten die 'stille plug-ins' worden genoemd. Ze identificeerden "tientallen" firmware-images die bedreigende software of malware bevatten, en identificeerden ongeveer 80 verschillende plug-ins. Sommige van deze plug-ins maakten deel uit van een groter "bedrijfsmodel" en werden verkocht op Dark Web-forums en geadverteerd op reguliere sociale-mediaplatforms en blogs.
Kwaadaardige plug-ins kunnen de oorzaak van de aanval zijn
De plug-ins die bij deze supply chain-aanval zijn ontdekt, hebben verschillende mogelijkheden die de getroffen apparaten ernstig bedreigen. Ze hebben de mogelijkheid om gevoelige informatie, zoals persoonlijke gegevens, te verzamelen en ongeoorloofde toegang te krijgen tot sms-berichten. Bovendien kunnen deze kwaadaardige plug-ins de controle over sociale media-accounts overnemen, apparaten misbruiken voor advertentie- en klikfraude, internetverkeer manipuleren en nog veel meer. Het scala aan schadelijke activiteiten dat door deze plug-ins mogelijk wordt gemaakt, is uitgebreid.
Een bijzonder zorgwekkende plug-in die door de onderzoekers naar voren is gebracht, geeft de koper tot vijf minuten volledige controle over een apparaat. Dit betekent dat de aanvallers het gecompromitteerde apparaat kunnen gebruiken als een "uitgangsknooppunt" om hun bedreigende activiteiten uit te voeren.
De gegevens die ze hebben verzameld, geven aan dat bijna negen miljoen apparaten wereldwijd zijn getroffen door deze supply chain-aanval. De meeste getroffen apparaten zijn geconcentreerd in Zuidoost-Azië en Oost-Europa. Hoewel de onderzoekers de daders achter de malware-aanval niet expliciet noemden, werd er verschillende keren naar China verwezen, waardoor de publicatie zijn eigen conclusies trok.