Wouter Hoeffnagel - 24 oktober 2019

Verdachte activiteiten van populaire UC Browser-app ontdekt

Zscaler ThreatLabZ-onderzoekers stuitten onlangs op een ongebruikelijke activiteit in de Zscaler-cloud. Ze vonden twijfelachtige hits met betrekking tot het domein: 9appsdownloading[.]com. Uit analyse bleek dat de verzoeken werden gedaan vanuit een populaire browser die beschikbaar is op Google Play en tot op heden meer dan 500 miljoen keer is gedownload: de UC Browser-app.

Tijdens de analyse van de UC Browser-app ontdekten de onderzoekers dat verzoeken werden gedaan om een extra Android Package Kit (APK) te downloaden via een onbeveiligd kanaal (HTTP ipv HTTPS). Het downloaden en/of bijwerken van componenten van een bron van derden is in strijd met het beleid van Google Play. Hierin staat namelijk: "Een app mag geen uitvoerbare code (bijv. Dex, JAR, .so-bestanden) downloaden van een andere bron dan Google Play."

Daarop is besloten de UC Browser-app verder te onderzoeken waarbij de volgende problemen zijn gevonden:

  • Downloaden van een extra APK van een derde partij, wat in strijd is met Google Play-beleid
  • Communicatie via een onbeveiligd kanaal, wat deuren opent voor man-in-the-middle-aanvallen
  • Een APK plaatsen op externe opslag (/storage/emulated/0), waardoor andere apps, met de juiste machtigingen, kunnen knoeien met de APK

Een andere app van dezelfde ontwikkelaar met gelijke functionaliteit, genaamd UC Browser Mini, heeft hetzelfde probleem en plaatst dezelfde extra APK van een externe server.

Mogelijke gevaren

De tactieken die UC Browser en UC Mini gebruiken, zijn in strijd met het beveiligingsbeleid van Google Play en maken het voor elke kwaadwillende app mogelijk toegang te krijgen tot het apparaat van een gebruiker. Hoewel 9Apps, een app store voor Android-apps, geen schadelijke site is, onderzocht Zscaler dit domein met VirusTotal en vond daar een aantal hits.

Het is te vroeg om precies aan te geven wat de UC Browser-ontwikkelaars van plan waren met hun externe APK, maar het is duidelijk dat ze gebruikers in gevaar brengen. Met meer dan 500 miljoen downloads van UC Browser is dat een aanzienlijke bedreiging.

Man-in-the-middle-aanvallen

Omdat UC Browser een onbekende app van derden downloadt naar apparaten via onbeveiligde kanalen, kunnen die apparaten geconfronteerd worden met man-in-the-middle (MiTM) -aanvallen. Met MiTM kunnen aanvallers het apparaat bespioneren en de communicatie van het apparaat onderscheppen of wijzigen. Het gebruik van onbeveiligde kanalen door de UC Browser-app stelt aanvallers ook in staat willekeurige code op een apparaat te installeren die verschillende activiteiten kan uitvoeren, zoals het verzenden van phishing-berichten om persoonlijke gegevens te stelen als gebruikersnamen, wachtwoorden en creditcardnummers.

Zodra een apparaat is geïnfecteerd en verbinding maakt met het bedrijfsnetwerk, kunnen aanvallers binnendringen in het netwerk om rond te snuffelen, malware te verspreiden of gegevens te stelen. Meer details zijn te vinden in de blogpost die Zscaler heeft gepubliceerd.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!