image

Android-malware besmet alleen bewegende gebruikers

donderdag 17 januari 2019, 16:37 door Redactie, 4 reacties

In de Google Play Store zijn twee malafide apps aangetroffen die hun kwaadaardige code alleen uitvoeren als de gebruiker en zijn telefoon in beweging komen. Op deze manier proberen de ontwikkelaars detectie door onderzoekers te voorkomen, zo meldt anti-virusbedrijf Trend Micro.

De twee apps hebben de naam Currency Converter en BatterySaverMobi. De laatstgenoemde app claimt de levensduur van de batterij te verlengen. Meer dan 5.000 mensen installeerden de app. De apps beschikken echter over kwaadaardige code die bankmalware op het systeem probeert te installeren.

Om malware te detecteren maken beveiligingsbedrijven en onderzoekers gebruik van sandboxes. Op deze manier raakt het onderliggende systeem niet besmet. De makers van de malafide Android-apps gaan er vanuit dat deze sandboxes niet over bewegingsgegevens beschikken. Als een echte gebruiker namelijk beweegt zal de telefoon via de sensoren bewegingsgegevens genereren. Een systeem dat niet over deze sensoren beschikt genereert geen bewegingsdata en is mogelijk een sandbox. Wanneer de malafide apps zien dat de gebruiker en de telefoon niet bewegen wordt de kwaadaardige code niet uitgevoerd.

Wanneer de apps de sensorgegevens wel ontvangen vragen ze de gebruiker om een "systeemupdate" te installeren. Het gaat in werkelijkheid om bankmalware die Anubis wordt genoemd. Om de communicatie met de server die de bankmalware bevat te verbergen wordt er gebruik gemaakt van Telegram en Twitter. Eenmaal actief fungeert de malware als keylogger die inloggegevens voor mobiel bankieren steelt. Ook kan de malware een screenshot van het scherm maken om zo de inloggegeven te achterhalen.

De bankmalware is in 93 verschillende landen aangetroffen en kan gebruikers van 377 bank-apps aanvallen. Verder is de malware in staat om contactgegevens en locatiegegevens door te geven, audio op te nemen, sms-berichten te versturen, telefoongesprekken te starten en de externe opslag aan te passen. Na te zijn ingelicht heeft Google de malafide apps uit de Play Store verwijderd.

Reacties (4)
17-01-2019, 18:13 door [Account Verwijderd]
Ik krijg net een patch van Moto. Meteen geïnstalleerd zonder verder na te denken. Nu lees ik dat artikel en mijn hart slaat 4 slagen over...

Maar na wat gegoogle, blijkt die patch echt te zijn...

/me veegt een laag koud zweet van z'n voorhoofd.

https://www.androidsage.com/2019/01/17/moto-g5-plus-get-december-2018-security-patch-with-build-number-opss28-85-13-5/
17-01-2019, 21:36 door Anoniem
Don't move!
17-01-2019, 23:12 door Anoniem
Door Rexodus: Ik krijg net een patch van Moto. Meteen geïnstalleerd zonder verder na te denken. Nu lees ik dat artikel en mijn hart slaat 4 slagen over...
/

Met een gelockte bootloader kan bij Moto alleen een door Motorola (tegenwoordig Lenovo) gesignde OTA update uitgevoerd worden of een gesignde partitie worden geflashed.
18-01-2019, 15:28 door Anoniem
Stuur je als onderzoeker toch fake data naar die sensor data ontvangers. hup ik zie het probleem niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.