Frankfurt, 26. März 2019

Die Virenanalysten von Doctor Web fanden im beliebten UC Browser für Android eine verdeckte Möglichkeit zum Herunterladen und Ausführen von nicht geprüftem Schadcode. Die App ist in der Lage, Dienstmodule herunterzuladen und Server von Google Play zu umgehen. Dies verstößt gegen die Regeln von Google und stellt für UC Browser Nutzer eine ernsthafte Gefahr dar, weil ein beliebiger Code auf ihre Geräte heruntergeladen werden kann.

Zum jetzigen Zeitpunkt haben die Downloads von UC Browser im Google Play-Store die Marke 500.000.000 überschritten. Alle Nutzer, die diese App installiert haben, sind bedroht. Die Virenanalysten von Doctor Web fanden in der App eine versteckte Möglichkeit, Hilfskomponenten aus dem Internet herunterzuladen. Der UC Browser erhält vom Verwaltungsserver Befehle zum Herunterladen neuer Bibliotheken und Module – diese rüsten die App mit neuen Funktionen auf und können zum Update der App verwendet werden.

Bei der vorgenommenen Analyse lud der UC Browser zum Beispiel eine ausführbare Linux-Bibliothek zum Bearbeiten von MS Office-Dokumenten sowie PDF-Dateien von einem Remote-Server herunter. Diese ist zwar nicht böswillig, war aber im Browser erst nicht vorhanden. Nach dem Download hat die App diese Bibliothek in ihrem Verzeichnis abgespeichert und gestartet. So kann die Anwendung Google Play-Server umgehen. Dies verstößt gegen die Regeln von Google für die über den Google Play-Store verbreiteten Apps. Gemäß der aktuellen Google-Richtlinie dürfen Apps, die aus dem Google Play-Store heruntergeladen werden, weder ihren eigenen Code ändern noch Softwarekomponenten aus Quellen Dritter herunterladen. Diese Regeln sind gegen modulare Trojaner, die bösartige Plug-ins herunterladen und ausführen, gedacht. Beispiele solcher Schädlinge sind Android.RemoteCode.127.origin und Android.RemoteCode.152.origin. Von diesen Trojanern berichtete Doctor Web im Januar und April 2018.

Diese potenziell gefährliche Funktion gibt es im UC Browser mindestens seit 2016. Obwohl die App noch nie Trojaner oder unerwünschte Programme verbreitet hat, stellt ihre Fähigkeit, neue und ungeprüfte Module herunterzuladen und auszuführen, eine potenzielle Bedrohung dar. Es gibt keine Garantie dafür, dass Cyberkriminelle keinen Zugriff auf Server des Browser-Entwicklers erhalten oder die eingebaute Update-Funktion zur Infizierung von Hunderten Millionen Android-Geräten ausnutzen.

Die verwundbare Funktion von UC Browser kann für MITM-Angriffe (Man in the Middle) ausgenutzt werden. Zum Herunterladen von neuen Plug-ins sendet der Browser eine Anfrage an den Verwaltungsserver und erhält von diesem einen Link zur Datei. Da die App mit dem Server über eine ungeschützte Verbindung (HTTP) kommuniziert, können Angreifer die Netzwerkanforderungen der App abfangen. Cyberkriminelle können eingehende Befehle ersetzen, indem sie die Adresse einer bösartigen Webseite angeben. Danach lädt das Programm neue Module von einem vorgeschobenen Server herunter. Da der UC Browser mit unsignierten Plug-ins arbeitet, startet er einen Schadcode ohne jeglichen Malware-Scan.

Nachfolgend finden Sie ein Beispiel für einen solchen Angriff, der von den Virenanalysten von Doctor Web simuliert wurde. Das Video zeigt, wie ein potenzielles Opfer ein PDF-Dokument über den UC Browser herunterlädt und versucht, das Dokument anzuzeigen. Um die Datei zu öffnen, versucht der Browser das entsprechende Plug-in vom Server herunterzuladen. Aufgrund der vorgeschobenen Adresse des Servers «durch eine Person in der Mitte» lädt und startet der UC Browser eine weitere Bibliothek. Diese Bibliothek erstellt eine SMS mit dem Text «PWNED!»

So können Angreifer durch MITM-Angriffe böswillige Plug-ins über den UC Browser verbreiten. Diese sind wiederum in der Lage, eine Vielzahl von Aktionen durchzuführen, z.B. das Anzeigen von Phishing-Meldungen, um Logins, Passwörter, Bankkarteninformationen sowie weitere persönliche Daten zu klauen. Darüber hinaus können Trojaner auf geschützte Browserdateien zugreifen und gespeicherte Passwörter stehlen.

Mehr zu dieser Sicherheitslücke können Sie hier erfahren.

Auch der kleine Bruder des UC Browsers, der UC Browser Mini, kann unter Umgehung der Google Play-Server nicht verifizierte Komponenten herunterladen. Diese Funktion wurde in den UC Browser Mini spätestens im Dezember 2017 eingebaut. Bis heute luden mehr als 100.000.000 Google Play-Nutzer die App herunter und sind ebenfalls gefährdet. Im Gegensatz zum UC Browser funktioniert der oben beschriebene MITM-Angriff jedoch nicht im UC Browser Mini.

Nachdem die gefährliche Funktion im UC Browser und UC Browser Mini entdeckt wurde, kontaktierten die Malwareanalysten von Doctor Web den Entwickler des Browsers. Dieser verzichtete jedoch auf jegliche Kommentare. Anschließend teilten die Malwareanalysten von Doctor Web Google den Fund mit. Zum Zeitpunkt der Veröffentlichung dieser Mitteilung standen aber beide Browser noch zum Download bereit, konnten neue Komponenten immer noch herunterladen und die Google Play-Server umgehen. Besitzer von Android-Geräten sollten deshalb selbst entscheiden, ob sie diese Apps weiterhin nutzen wollen, sie entfernen oder auf ein Update warten, das die potenzielle Sicherheitslücke schließen soll.

Der IT-Sicherheitsspezialist Doctor Web wird die Situation weiter verfolgen.