Werknemers van een zeer populair Chinees softwarebedrijf hebben kwaadaardige software ontwikkeld die Windows-computers op aangesloten Android-smartphones stilletjes allerlei apps liet installeren. De malware doet zich voor als een Office-plug-in, maar biedt in werkelijkheid geen enkele functionaliteit.

Het viel onderzoekers van het Slowaaks anti-virusbedrijf ESET op dat de malware met een certificaat van Xunlei Networking Technologies was gesigneerd en verbinding met een server van het bedrijf maakte. Xunlei Networking Technologies is de ontwikkelaar van de meest gebruikt Torrent-client ter wereld. De software zou meer dan 100 miljoen gebruikers hebben, meer dan de 92 miljoen van uTorrent, een andere zeer populaire Torrent-client.

Installatie Android-app

De zogenaamde Office-plug-in lijkt als doel het installeren van Android-apps te hebben. Eenmaal actief downloadt het programma Android Debug Bridge (ADB), dat onderdeel van de ontwikkelingssoftware van Android is. Vervolgens probeert het programma eerder gedownloade APK-bestanden op aangesloten Android-toestellen te installeren. Dit werkt echter alleen als het Android-toestel USB-debugging heeft ingeschakeld, wat standaard niet het geval is.

In het geval gebruikers dit wel hebben ingeschakeld worden verschillende apps geïnstalleerd die volgens ESET volledig functioneel zijn en geen malware bevatten. Drie ervan zijn Android marktplaatsen waar gebruikers allerlei apps kunnen downloaden. Het anti-virusbedrijf stelt dat het geen kwaadaardige apps op deze marktplaatsen heeft aangetroffen.

Werknemers

In juni verschenen er op verschillende Chinese fora klachten van gebruikers over een verdacht programma dat door Xunlei Networking Technologies gesigneerd was, wat later de Office-plug-in bleek te zijn. In een reactie op deze klachten liet het bedrijf eind augustus weten dat een aantal werknemers op eigen initiatief en zonder toestemming van het bedrijf de kwaadaardige software had ontwikkeld.

Het bedrijf liet weten dat de verantwoordelijke werknemers waren ontslagen en er een verwijderingstool beschikbaar was gesteld. Aangezien de kwaadaardige software over een automatische update-functie beschikte, zorgde het bedrijf ervoor dat de verwijdertool automatisch werd gedownload en uitgevoerd, waardoor de meeste infecties inmiddels ongedaan zijn gemaakt.

Eerder dit jaar vond er een soortgelijk incident bij de Amerikaanse E-Sports Entertainment Association (ESEA) plaats. Een werknemer zou de anti-cheatsoftware van ESEA hebben aangepast zodat computers die het installeerden onderdeel van een Bitcoin-botnet werden. Ook deze werknemer werd ontslagen.