Onderzoekers hebben in de Google Play Store tientallen malafide Android-apps met miljoenen downloads ontdekt die, door gebruik te maken van bekende kwetsbaarheden, een rootkit installeren en vervolgens de WhatsApp-sessie van het slachtoffer klonen. De rootkit is niet met een fabrieksreset te verwijderen, zo laat antivirusbedrijf McAfee in een analyse weten. De meer dan vijftig apps, die bij elkaar minstens 2,3 miljoen downloads hebben, doen zich voor als eenvoudige tools of games.
Eenmaal geïnstalleerd kijkt de malafide app of het Androidtoestel een bekende kwetsbaarheid bevat. Is dat het geval, dan wordt er een exploit gedownload waarmee vervolgens de rootkit wordt geïnstalleerd. Volgens de onderzoekers maken de exploits misbruik van kwetsbaarheden waar Google vanaf 2016 tot en met 2021 beveiligingsupdates voor uitbracht. Androidtoestellen met een patchniveau van 2021-05-01 zijn niet kwetsbaar voor de in totaal 22 exploits die de aanvallers toepassen.
In het geval de exploit succesvol is wordt de rootkit geïnstalleerd. Die overschrijft een belangrijke system library, waardoor elke app op de telefoon code van de aanvaller uitvoert. De rootkit-installer vervangt ook het onderdeel van Android dat zich met afhandelen van crashes bezighoudt. Daarnaast worden er recovery scripts geïnstalleerd en kopieert de rootkit zichzelf ook naar de systeempartitie. Als één onderdeel wordt verwijderd kan de rootkit zichzelf weer installeren.
Zodra de telefoon wordt herstart laadt de process launcher van Android de vervangen library, waardoor elke app meteen de code van de aanvaller uitvoert. De malware op de besmette telefoon maakt ook verbinding met de server van de aanvallers en wacht op nieuwe instructies. De aanvallers kunnen vervolgens allerlei payloads op het toestel uitvoeren. De onderzoekers van McAfee wisten één payload te identificeren. Deze payload kopieert de WhatsApp-encryptiedatabase, leest verschillende encryptiesleutels uit en steelt sessiegegevens. Met de gestolen keys en sessiedata kan de aanvallers de WhatsApp-sessie van het slachtoffer op een ander toestel klonen.
De onderzoekers merken op dat de rootkit lastig is te verwijderen. Omdat die zichzelf naar de systeempartitie kopieert zal die namelijk niet bij een fabrieksreset worden verwijderd. Een fabrieksreset wist gebruikersgegevens, maar laat de systeembestanden intact. De onderzoekers stellen dat de firmware van de telefoon opnieuw moet worden geïnstalleerd om de malware weg te krijgen. Na te zijn ingelicht heeft Google de malafide apps uit de Play Store verwijderd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
