Het Russische anti-virusbedrijf Dr. Web heeft een Trojaans paard voor Android ontdekt dat een lek in het mobiele besturingssysteem gebruikt om anti-virusprogramma's te misleiden. "Android.Spy.40", zoals de malware wordt genoemd, verspreidt zich via sms-berichten die een link naar een APK-bestand bevatten.

In werkelijkheid gaat het hier om de Trojan. Zodra een gebruiker het bestand downloadt en opent vraagt de app om beheerdersrechten. Na de installatie verwijdert de Trojan het icoontje, terwijl het stilletjes in de achtergrond actief blijft. Zo kan de malware sms-berichten zoals mobiele TANcodes onderscheppen, gesprekken blokkeren en contactgegevens stelen.

Specificatie

Wat Android.Spy.40 van andere Android-malware doet onderscheiden is dat het een kwetsbaarheid in het besturingssysteem gebruikt om detectie door een geïnstalleerde virusscanner te voorkomen. De aanvallers hebben het APK-bestand dat de malware gebruikt namelijk aangepast. Een APK-bestand is in principe een ZIP-bestand met een andere extensie.

Door het aanpassen van een waarde in de header van het ZIP-bestand, zoals omschreven in de specificatie van ZIP-bestanden, kan worden aangegeven dat het om een versleuteld bestand gaat. In een normale situatie zou bij het openen van dit soort bestanden om een wachtwoord worden gevraagd.

Een kwetsbaarheid in Android zorgt ervoor dat de waarde die aangeeft dat het om een versleuteld bestand gaat door het besturingssysteem wordt genegeerd, waardoor het programma toch geïnstalleerd kan worden. In tegenstelling tot Android zijn volgens Dr. Web verschillende virusscanners wel verplicht om zich aan de ZIP-specificatie te houden en zullen deze bestanden dan ook niet scannen, omdat ze ervan uitgaan dat het bestand versleuteld is, zoals door de header wordt aangegeven.