Kritieke kwetsbaarheid: Eerste Android-worm ontdekt

Hoe hard Google ook probeert om van Android een veilig besturingssysteem te maken, telkens duiken er toch weer nieuwe bedreigingen op. Meestal betreft het gevaarlijke apps, zoals de nep-apps voor Fortnite, waarover de experts van G Data vorige week berichtten. Maar nu is er weer een geheel nieuw gevaar bijgekomen: een Android-worm.

De worm heeft wereldwijd al duizenden smartphones besmet. De worm maakt misbruik van  een veiligheidslek dat veroorzaakt wordt door een vergeten debug-interface. De kwetsbaarheid is nog altijd niet gedicht, dus veel Android-gebruikers lopen nog steeds gevaar.

Gelukkig is het mogelijk om je Android-apparaat handmatig tegen deze bedreiging te beveiligen. Maar eerst kijken we eens naar wat nu eigenlijk het probleem is.

Dankzij een open TCP-poort 5555 kan het apparaat online worden gekoppeld aan Androids debug-bruginterface (ADB in het kort). ADB kan worden gebruikt om een verscheidenheid aan apparaatacties uit te voeren – van het eenvoudig lezen van apparaatinformatie, tot de diefstal van gevoelige gegevens.

ADB.Miner

ADB wordt gebruikt door softwareontwikkelaars om directe toegang te krijgen tot apparaten voor het uitvoeren van diagnostiek of post-installaties. Deze interface is standaard uitgeschakeld, maar er zijn fabrikanten, bijvoorbeeld uit Azië, die er blijkbaar niet in zijn geslaagd de geactiveerde ADB-interface uit te schakelen alvorens de apparaten aan de consument te verkopen. Deze fout wordt uitgebuit voor ‘s werelds eerste Android-worm ADB.Miner.

Als ADB.Miner verbinding wil maken met de smartphone, verschijnt een zogenaamde USB debugging query. Als de gebruiker op OK klikt, wordt het mobiele apparaat geïnfecteerd. De worm scant het internet af, op zoek naar meer open 5555 TCP-poorten, waardoor een cryptominingbotnet ontstaat. Het apparaat wordt zo gecompromitteerd en misbruikt voor het ontginnen van de virtuele XMR-munten.

Eenvoudige oplossing

Gelukkig is het probleem voor de meeste kwetsbare Android-apparaten zelf op te lossen. Eigenaren van zo’n smartphone moeten in de instellingen naar de ontwikkelaaropties zoeken en deze uitschakelen. Instructies daarvoor zijn (voor de meeste toestellen die mogelijk kwetsbaar zijn)  hier te vinden.

Hoewel het in dit geval mogelijk is om de kwetsbaarheid zelf op te lossen, zal dat mogelijk bij volgende wormen niet het geval zijn. Bovendien zijn de bovenstaande stappen niet voor iedere gebruiker even simpel om uit te voeren. Het is dan ook echt verstandiger om elk Android-apparaat uit te rusten met een goede beveiligingsapp die dit soort bedreigen standaard buiten de deur houdt.

Tijdens de lezingen die ik over de hele wereld houd, informeer ik bij de bezoekers – toch mensen die voldoende interesse in IT-security hebben om mijn lezing te bezoeken – hoeveel van de Android-gebruikers in de zaal gebruik maken van een beveiligingsapp. Daardoor weet ik dat dat slechts een zeer klein percentage is. En dat terwijl de meeste Android-gebruikers hun toestellen ook voor zakelijke doeleinden gebruiken.

Dat is een gevaarlijke constatering, vooral  in het post-GDPR-tijdperk, waarin elke malwarebesmetting een datalek is dat onder de meldplicht valt. En zoals het spreekwoord luidt: voorkomen is beter dan genezen.

Dit is een ingezonden bijdrage van Eddy Willems, Security Evangelist bij G DATA. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.