4 maart 2016 16:57

Deze geniepige Androidmalware kan ook jou bedotten

Onderzoekers tonen malware die een Androidtoestel kan kapen zonder dat je daar als gebruiker per ongeluk toestemming voor moet geven.

Malware op mobiele toestellen treft in de regel alleen de onvoorzichtige en misschien iets minder geïnformeerde gebruiker. Zelfs wanneer je op een verdachte link klikt waarachter software schuilt die je toestel wil overnemen, moet je in de regel de malware zelf nog de toestemming geven om dingen aan te passen via een dialoogvenster. Wie alleen apps van de Play Store downloadt en telkens goed nakijkt welke permissies die vraagt, had in de regel niets te vrezen.

Slimme misleiding

Had, en niet heeft: onderzoekers pakken op de RSA-conferentie in San Fransisco uit met een applicatie die zichzelf administratorbevoegdheden op je Androidtoestel kan geven zonder dat de gebruiker daar iets van merkt. De app zelf vereist maar één obscure toestemming bij de installatie: over andere apps tekenen. Je geeft dus in eerste instantie geen controle over je gegevens of je telefoon weg. Onder andere betrouwbare apps zoals Facebook maken gebruik van die permissie.

Een malware-app vermomd als een spel en gewapend met enkel die ene toestemming kan een heel toestel ongemerkt overnemen. De sleutel is het Android accessibility framework. Dat maakt Android toegankelijk voor mensen met een visuele of fysieke beperking. Het raamwerk doet dat door als tussenpersoon voor de controle van een toestel te dienen maar dat impliceert dat het in slechte handen toegang heeft tot het hele systeem.

https://www.youtube.com/watch?v=4cSRq7_Z26s

Misbruik

PC Magazine kreeg een demonstratie door onderzoekers van Skycure. Zij lieten zien hoe een spelletje het raamwerk kan overnemen. Normaal verschijnen er een heleboel dialoogvensters en waarschuwingen maar malafide individuen kunnen die vensters op de achtergrond laten verdwijnen. Het spelletje blijft op de voorgrond, maar de clicks van een nietsvermoedende gebruiker worden wel doorgesluisd en misbruikt om alle nodige toestemmingen te accepteren. In het voorbeeld van Skycure geeft het spelletje een hacker toegang tot alle gegevens die de gebruiker vanaf dan in Gmail intypt.

In een tweede demo toont het beveiligingsbedrijf aan dat hackers dezelfde techniek kunnen inzetten om je toestel helemaal over te nemen. Ze kunnen dan alles zien, aanpassen en zelfs je toestel wissen vanop afstand.

https://www.youtube.com/watch?v=TY1sRoDTWl4

Wijdverspreide kwetsbaarheid

Skycure schat dat ongeveer 66 procent van de Androidtoestellen in omloop kwetsbaar is, al gaat het over het algemeen over iets oudere smartphones. Het accessibility framework kreeg met Android 5.0 een upgrade die het onmogelijk maakt om op een dergelijke manier clicks te misbruiken. Het grote merendeel van de smartphones in omloop draait echter nog Android 4.4 of lager, en is dus wel kwetsbaar.

Het is niet ondenkbaar dat een app zoals die van Skycure haar weg naar de Play Store vindt. De applicatie lijkt op het eerste zicht niets verkeerds te doen. Toch moet je als gebruiker niet meteen panikeren. Google houdt z’n winkel goed in de gaten en wanneer je zelf met het nodige verstand te werk gaat heb je toch weinig te vrezen. Je kan ook zelf nakijken of er een verdachte applicatie op je smartphone actief is door in de toegankelijkheidsinstellingen te kijken welke apps er allemaal gemachtigd zijn om er gebruik van te maken.