Android-botnet vermomt zich als Google-app
Volgens veiligheidsonderzoekers zitten Chinese cybercriminelen achter een recent ontdekte Android-malware. Het programma doet zich voor als een app van Google, maar steelt berichtjes van de slachtoffers.
Na installatie doet de malware zich voor als een Google-app.
De malware, ‘MisoSMS’, wordt verspreid door SMS-phising, waarbij mensen worden aangezet om op een link te klikken die hen naar een niet-officiële app store leidt. De app komt tevoorschijn als een instellingsscherm op telefoon en noemt zichzelf na installatie ‘Google Vx’. Daarna begint het sms’jes en mailtjes door te sturen naar een server in China.
[related_article id=”161563″]
Zuid-Korea
Onderzoekers van het security-bedrijf FireEye, die de malware ontdekten, zeggen dat het programma al in minstens 64 spionagecampagnes gebruikt is. Die waren voornamelijk gericht op Zuid-Koreaanse smartphone-gebruikers.
Zodra Google Vx geïnstalleerd is, vraagt de app enkele toestemmingen van de gebruiker waarmee hij zich kan vermommen. Daarna neemt hij contact op met de botnets van zijn makers, die steunen op honderden webmail-accounts om met de app te communiceren. De 450 accounts, bij een ongenoemde Chinese mailprovider, zijn ondertussen verwijderd.
Zodra er sms’jes binnenkomen, worden die, samen met de nummer van de verzender, doorgestuurd. Omdat de app gebruikmaakt van webmail, controleert hij daarbij of er wel een actieve internetverbinding is. Berichtjes die niet doorgestuurd kunnen worden, worden zelfs gebackupt om ze later te versturen.
Nieuwe evolutie
MisoSMS is zeker niet de Android-malware om sms’jes te stelen en ook niet het eerste Android-botnet. Volgens FireEye is wel het gebruik van webmail-accounts een interessante nieuwe evolutie.
“Soms malware die sms’jes steelt, doet dat door de berichtjes via sms door te sturen naar telefoonnummers van de hackers”, zeggen de FireEye-onderzoekers. “Andere versturen de berichtjes naar een ‘command and control’-server via TCP. Deze app echter stuurt ze naar het e-mailadres van de hackers via SMTP.” Ook het Koreaanse securitybedrijf INCA merkte eerder dit jaar al malware op die gelijkaardige technieken gebruikte.
Veiligheidsexperts raden aan om enkel apps te downloaden uit de officiële Google Play Store. In sommige landen echter, waaronder China, zijn de niet-officiële app-winkels echter veel populairder. MisoSMS stond in een van die niet-officiële winkels.
Mailfilters omzeilen
“Miso volgt een nieuwe trend in mobiele bedreigingen”, aldus een FireEye-woordvoerder. “De app wordt verspreid via SMS-phising en niet via e-mail. Waarom? Omdat dat een betere kans geeft om tot bij de ontvanger te raken. Via e-mail kunnen zulke berichten meestal wel gefilterd worden.”
“In tegenstelling tot de meeste ‘SMSishing’-aanvallen, stuurt deze app, na installatie, onderschepte sms’jes naar enkele vaste mailadressen in China. We werken samen met de Koreaanse autoriteiten zodat ze van ons onderzoek gebruik kunnen maken om zo Zuid-Koreaanse consumenten te beschermen.”