Een technologie die in de begindagen werd gebruikt voor het besturen van botnets op Windows computers, wordt nu geïnstalleerd door een kwaadaardige Android app. Onderzoekers van Kaspersky Lab ontdekten een app die zich voordoet als het spel ‘MADDEN NFL 12’, maar in werkelijkheid een root-exploit gebruikt om meer rechten te krijgen en vervolgens een IRC-bot en een sms-Trojaans paard installeert.

Internet Relay Chat (IRC) is een protocol voor "real-time Internet text messaging" en wordt nog altijd gebruikt als middel om online te chatten. Door het installeren van een IRC-client op een besmette computer, is het mogelijk om via een IRC-kanaal de besmette computer opdrachten te geven. In de begintijd van de botnets was dit de geprefereerde manier om de bots binnen het netwerk te besturen. Tegenwoordig is vooral HTTP populair om botnets te besturen en speelt IRC nog een kleine rol.

Kosten
In het geval van de nu ontdekte Android malware, installeert de IRC-bot de sms-Trojan. Dit Trojaanse paard laat de Android smartphone sms-berichten naar dure nummers sturen. Ook blokkeert de malware alle inkomende berichten van deze dure premium nummers, zodat het slachtoffer niets doorkrijgt. Pas bij het ontvangen van een torenhoge telefoonrekening kan de gebruiker zien dat er iets mis is.

Na de installatie van de sms-Trojan maakt de IRC-bot verbinding met een IRC-server. Daar wacht het op nieuwe opdrachten van de aanvaller om op de besmette smartphone uit te voeren.

Combinatie
"Dit is de eerste IRC-bot die we voor Android tot nu toe hebben gezien. Wat interessanter is, is de combinatie van een root-exploit en sms-Trojan. Ze werken zeer efficiënt samen en de cybercrimineel heeft in dit geval volledige toegang tot de besmette smartphone en kan daarop alles doen wat hij wil", aldus analist Denis Maslennikov.