Helft Androidtoestellen gevoelig voor twee jaar oude malware

Het is al meer dan twee jaar geleden dat het bestaan van de mobiele trojan Ghost Push publiekelijk werd aangetoond, maar de malware kan nog altijd miljoenen toestellen bedreigen.

Pornosites

Ghost Push werd in het wild ontdekt in 2014, en besmette op zijn piek zo’n 600.000 apparaten per dag volgens antivirusfirma Cheetah Mobile. De trojan is nog altijd actief in allerlei varianten, waarvan sommigen ondertussen ook geëvolueerd zijn naar nog virulentere versies.

De code komt op een smartphone terecht door het downloaden van bestanden buiten de Google Play Store om. Eens geïnstalleerd voert de malware een gemodificeerd DEX bestand uit, waardoor het toegang krijgt tot de root van het toestel en de facto de smartphone kan overnemen. Dan kan het op eigen houtje apps installeren, reclame tonen, gebruikers bespioneren en data stelen. Tegenwoordig hoef je zelfs niet meer een app te downloaden om bepaalde varianten van Ghost Push binnen te halen, klikken op een foute link of een bezoekje aan een pornosite is genoeg.

Marshmallow

De cybercriminelen achter Ghost Push hebben een groot netwerk van “gebruikers” opgebouwd die advertenties onder ogen krijgen of ongevraagd nieuwe apps zien verschijnen. Hieruit halen de hackers een aanzienlijke winst. De malware werkt niet op Android Marshmallow of later, maar aangezien meer dan de helft van de Androidgebruikers nog niet de omschakeling naar die recente versies hebben gemaakt, lopen er heel wat potentiële slachtoffers rond. Steeds controleren wat je downloadt blijft belangrijk.