Meer dan 16.000 eigenaren van een Android-toestel zijn met ransomware besmet geraakt omdat ze een belangrijke beveiligingsmaatregel van het besturingssysteem uitschakelden om besmette apps van kwaadaardige websites te kunnen installeren.

Om gebruikers tegen malware te beschermen zal Android standaard geen apps uit onbetrouwbare bron installeren. In het geval gebruikers buiten Google Play om toch apps willen installeren zullen ze deze beveiligingsmaatregel moeten uitschakelen. Zo konden de 16.000 Android-gebruikers met de Faketoken-malware besmet raken. Deze malware doet zich voor als spelletjes en programma's, zoals Adobe Flash Player. De apps werden allemaal vanaf kwaadaardige websites aangeboden, zo laat het Russische anti-virusbedrijf Kaspersky Lab tegenover Security.NL weten.

Eenmaal actief vraagt de malware om beheerdersrechten. Als de gebruiker dit verzoek weigert blijft de malware hierom vragen totdat de gebruiker akkoord gaat. Zodra de malware de beheerdersrechten heeft verkregen zal de malware om noodzakelijke permissies vragen om toegang tot sms-berichten, bestanden en contacten te krijgen en de mogelijkheid om sms-berichten te versturen en te telefoneren. Ook in dit geval moet de gebruiker aan dit proces meewerken. Vervolgens vraagt de malware het recht om een venster boven andere applicaties te tonen. Dit is nodig om het toestel te blokkeren en phishingpagina's te tonen. Als laatste vraagt de malware de gebruiker om de standaard sms-applicatie te worden. Zo kan Faketoken inkomende sms-berichten stelen.

Vervolgens wordt geprobeerd om via phishingvensters inloggegevens voor Gmail en creditcardgegevens te stelen. Ook kan de malware gegevens van bank-applicaties buitmaken. In totaal zou Faketoken meer dan 2000 bank-apps ondersteunen. Android-malware die in staat is om op deze manier gegevens te stelen bestaat al langer. Wat de nieuwe versie van Faketoken doet opvallen is dat die ook bestanden op het externe geheugen of de externe geheugenkaart versleutelt. De malware kan in totaal 89 bestandsextensies versleutelen en zal die vervolgens van de .cat-extensie voorzien. Er wordt van asymmetrische versleuteling gebruik gemaakt, waardoor gebruikers geen andere keuze hebben dan te betalen om hun bestanden terug te krijgen, aldus de onderzoekers. Beveiligingsexperts adviseren Android-gebruikers al geruime tijd om alleen apps van Google Play te downloaden en goed te kijken naar de permissies die worden gevraagd.