Symantec heeft een nieuw type malware ontdekt, dat Android-apparaten via een Windows-computer infecteert en zich richt op het ontfutselen van bankgegevens van de gebruiker. Enkel apparaten die in de debugmode draaien zijn vatbaar voor de malware.
Het systeem is vrij ingenieus in zijn werking. De malware plaatst een DLL-bestand op een Windows-computer en registreert een nieuwe systeemservice, zodat de malafide software ook werkt na een herstart. Vervolgens wordt een configuratiebestand van een externe server gehaald. In dat bestand staat de locatie van gemodificeerde Android-apps, welke ook gedownload worden.
De malware haalt ook de Android Debug Bridge binnen, welke in de achtergrond op de computer wordt geïnstalleerd. Met deze software kan een Android-apparaat via commandline op een computer worden aangestuurd als er een USB-verbinding actief is. Vervolgens wordt herhaaldelijk een commando om de malafide Android-software te installeren uitgevoerd, zodat it ook gebeurt als het apparaat met de computer is verbonden.
De debugmode wordt normaalgesproken alleen gebruikt door ontwikkelaars, maar ook mensen die hun Android van een root willen voorzien of screenshots willen maken via de computer moeten hier gebruik van maken. Het aantal mensen dat gevaar loopt is dus toch aanzienlijk.
De aangepaste Android-app betreft op dit moment een ‘update’ van een applicatie van een Koreaanse bank, die via een namaakversie van de Google Play Store wordt aangeboden als de echte app gedetecteerd is. De nep-app is bedoeld om bankgegevens van gebruikers te onderscheppen. In theorie kan deze methode gebruikt worden om allerlei applicaties te vervangen voor malafide apps.
Symantec raadt Android-gebruikers aan om de debug-mode op hun Android-apparaat uit te schakelen als deze niet nodig is. Ook moeten zij voorzichtig zijn met het aansluiten van hun apparaat op een vreemd systeem.
22 uur geleden
