8 april 2014 10:40

Slimme malware valt alleen Android aan

Een recente e-mailcampagne bevatte een link die de meeste mensen direct naar een traditionele spamsite leidde. Behalve Android-gebruikers, zij ontvingen malware op hun apparaat.

Een recente spamcampagne vertoont een meer dan gemiddelde hoeveelheid aan intelligentie, zoals beschreven door Jim Clausing van het SANS Institute. Hij onderzocht een verdachte e-mail die enkele weken geleden rondging.

Het bericht bevatte een link die op de meeste platforms naar een typische spamsite leidde. Wanneer je erop klikte vanaf een Androidapparaat, dan ontving je malware.

Onze Amerikaanse ZDNet-collega Larry Seltzer ontving een soortgelijke e-mail met daarin een link. Hieronder staat een screenshot.

[related_article id=”161920″]

De link heeft Seltzer bewust laten staan, omdat Clausing aangeeft dat de malware inmiddels verdwenen is. Wanneer je de link test in Chrome op je pc kom word je doorgestuurd naar de website van een Canadese apotheek. Een typisch spamdoelwit volgens Clausing.

Als je op de link klinkt in Chrome op een Android-apparaat kom je in de root van het domein, waar staat dat de website te koop is. Malware ontvang je niet meer, die is dus weggehaald. Maar het maakt nog wel steeds verschil vanuit welk besturingssysteem je op de link klikt.

DroidNotCompatible
De malware was volgens Clausing de laatste versie van DroidNotCompatible. Deze kwaadaardige software is normaal te vinden onder de naam NotCompatible en komt voor in een bestandje genaamd update.apk.

Om de aanval een succes te laten zijn moeten apparaten ingesteld zijn om apps te installeren vanaf onbetrouwbare bronnen. Daarna moet het APK-bestand ook nog opgestart worden vanuit de download-map. Als je dus een beetje oplet is de malware niet echt gevaarlijk.

Wat echter wel interessant is, is het feit dat de malware alleen gedownload wordt naar Android-apparaten.