Selv hr. og fru Danmark kan lave Android-malware med nyt værktøj

Et spritnyt open source-værktøj gør det let for selv helt almindelige mennesker at bygge malware, der kan aflytte samtaler, stjæle data og sende sms'er til hundedyre numre fra Android-telefoner.

Sådan lyder nogle af de dystre perspektiver i Android Exploitation Framework, som er udviklet af de to it-sikkerhedsfolk Aditya Gupta og Subho Halder.

De to hører til i gruppen af white hat hackers - altså hackere, der afslører sårbarheder i software for at få dem lukket, og ikke for at udnytte dem for egen vindings skyld.

Men spørger man en dansk sikkerhedskonsulent, kan der herske tvivl om, hvorvidt de to holder sig inden for den kategori i det konkrete tilfælde.

Framework'et viser de frem og lægger ud til fri download på konferencen ToorCamp, som finder sted 8.-12. august i Neah Bay i staten Washington på den amerikanske vestkyst.

»Framework'et er stadig under udvikling og vil blive brugt til at skabe malware, modtage de indkommende oplysninger fra den, kontrollere ofrene og meget mere. Vi har også fremstillet nogle skabeloner til malwaren, for eksempel File Explorer, Tic Tac Toe, Jokes app og et par andre,« skriver de to på konferencehjemmesiden.

Normalt vil de it-kriminelle typisk vælge en helt lovlig app fra onlinebutikken Google Play, dekompilere den, lægge sin egen, ondsindede kode ind og til sidst få den malware-inficerede app ud til brugerne igen.

Med det nye værktøj får man lige nu otte prædefinerede skabeloner - flere er på vej - til forskellige typer malware, som skulle gøre det lettere at få malware-appsene sendt ud til de intetanende brugere i langt større skala.

Dansk konsulent: Kan let udnyttes

Android-platformen har længe haft et blakket ry på sikkerhedsfronten sammenlignet med den nærmeste konkurrent Apple med selskabets iPhones og iPads.

Google har valgt en langt mere åben og løs tilgang end konkurrenten, når det kommer til at kontrollere kvaliteteten af apps, der lægges frem på hylderne i Google Play. Nye apps kan blandt andet lægges på anonymt.

Samtidig er det også muligt at installere apps direkte på en Android-telefon uden om Google Play.

Google er selv opmærksom på problemet og har efter eget udsagn skærpet sikkerheden i den nye Android 4.1 med kodenavnet Jelly Bean.

Netop derfor mener den danske it-sikkerhedskonsulent Peter Kruse, CSIS, at de to sikkerhedsfolk bag framework'et sparker en dør ind, som i forvejen står pivåben.

For det er efterhånden velkendt, at Android-malware kan misbruges til eksempelvis overvågning eller tyveri ved at få telefonen til at sende sms'er til et overtakseret nummer. Det findes der allerede kommercielle løsninger på markedet, som kan gøre, forklarer sikkerhedskonsulenten.

»Hvis det var noget nyt og banebrydende, de kom med, kunne jeg måske forstå det. Men vi ved efterhånden godt, at Android-malware kan fungere på de måder, så det er nok lidt søgt at kalde framework'et for et proof-of-concept,« siger Peter Kruse til Version2.

Fordi framework'et ser ud til at kunne gøre det meget lettere at fremstille Android-malware, er det problematisk at lægge værktøjet ud til fri afbenyttelse, mener Peter Kruse.

»Man sætter arbejdet med at lave et stykke malware i system og leverer et stykke software, som let kan udnyttes af it-kriminelle. Men det gør det også nemmere for almindelige mennesker at åbne op for overvågning. Det kan for eksempel være en jaloux person, der vil overvåge kærestens telefon. Så det vil også kunne bruges af private, som ikke rigtig ved, hvad de har med at gøre,« siger Peter Kruse til Version2.

»Derfor frygter jeg, at framework'et uanset intentionerne bag kan blive et afsæt for, at det bliver endnu lettere at lave malware til Android,« siger sikkerhedskonsulenten.