2min

Tags in dit artikel

, , , ,

Er zijn nieuwe kwaadaardige applicaties gevonden in de Android app store. ESET ontdekte acht apps behorend tot een nieuwe familie. Het beveiligingsbedrijf lichtte Google in over de malware verstopt in de apps, waarmee bijvoorbeeld geprobeerd wordt om gebruikersnamen en wachtwoorden voor internetbankieren te bemachtigen.

Het gaat om acht applicaties die zich bijvoorbeeld voordoen als programma’s om de telefoon mee op te schonen. Enkele namen zijn Clear Android, MEX Tools, Cleaner for Android, World News en World News Pro. De apps waren zo gemaakt dat ze niet opvallen, mede door gewoon te werken zoals verwacht. In werkelijkheid werden ongemerkt downloads uitgevoerd, waarna de smartphone naar een internetadres gestuurd werd voor het downloaden van anders apps.

Vier fases

De precieze werking wordt uitgelegd door middel van vier fases payloads (data overgedragen in een pakket). In eerste instantie wordt de app dus gedownload en geïnstalleerd, waarbij de activiteiten nog niet verdacht zijn. Tegelijkertijd worden de payloads ontsleuteld en uitgevoerd. Deze payload ontsleutelt en voert vervolgens de tweede fase uit, die is opgeslagen in de oorspronkelijke app gedownload uit Google Play. De consument merkt niets van deze stappen.

In de tweede fase payload is een hardcoded URL aanwezig die een andere malafide app downloadt (de derde fase) zonder dat de gebruiker het merkt. Na vijf minuten wachten wordt de gebruiker gedwongen de app te installeren. Zo’n app uit de tweede fase is vermomd als bekende software zoals Adobe Flash Player of iets fictiefs als Android Update of Adobe Update. Het doel is hoe dan ook om de laatste fase te bereiken en alle toestemming te krijgen om malafide praktijken uit te voeren.

Slachtoffers

In alle gevallen ging het om een mobiele bankier trojan. De kwaadwillenden proberen met neppe login schermen bijvoorbeeld de creditcardgegevens te stelen. Hoewel de apps inmiddels verwijderd zijn, is de link bijna 3000 keer gebruikt. De meerderheid is daarbij afkomstig uit Nederland.