7 februari 2020 13:30

Onderzoekers waarschuwen voor twee malware campagnes in Android

Een malware campagne maakt gebruik van apps die kunnen gedownload worden via Play Store, de andere is een phishing-campagne.

Cybersecurityonderzoekers waarschuwen voor twee grootschalige malware campagnes die Android toestellen kunnen aantasten. De twee campagnes zijn van volledig verschillende aard, en staan ook compleet los van elkaar. Toch kunnen ze beide enorme schade aanrichten eens ze een smartphone weten infecteren.

Niet zo schoon

Één van de twee campagnes verloopt via de Google Play Store van Android. In deze campagne zit de malware verscholen achter apps die je gratis kan downloaden. Deze apps hebben de namen als ‘Super Clean’ ‘Junk Cleaner’ etc, en willen de indruk geven dat ze tot doel hebben om de prestaties van je smartphone te verbeteren. Sommige van deze apps werden meer dan 100.000 keer gedownload, vooral in de Verenigde Staten en Azië.

Ze doen echter heel wat anders dan grote schoonmaak houden in je geheugen. Ze verbinden de smartphone met servers die meer dan 3000 verschillende malware varianten die niet kunnen gedetecteerd worden op het systeem kunnen downloaden. Daarmee werd dan fraude via advertenties gepleegd. Ze tonen bijvoorbeeld advertenties vanuit Google AdMob of Facebook Audience Network en simuleren dat de gebruiker hierop klikt. Gebruikers worden er ook ingeluisd om de beveiligingsscanner van Android uit te schakelen zodat nog meer malware geïnstalleerd kan worden. Het meest zorgwekkende van allemaal is wellicht nog wel dat de apps automatisch kunnen inloggen op Facebook en Google om valse reviews te plaatsen.

Alle apps die ontdekt werden door het onderzoeksbureau Trend Micro werden inmiddels verwijderd door Google. Je hebt trouwens ook helemaal geen apps nodig om je geheugen op te kuisen, dit kan je gewoon handmatig doen.

Anubis

De tweede beveiligingsissue is een klassiek voorbeeld van een phishing-campagne. Gebruikers krijgen valse mails met daarin een bijlage. Die bijlage werd verhuld als een factuur die nog betaald moest worden. In realiteit is de ‘factuur’ een APK-file, een format dat gebruikt om apps te installeren. Als dat bestand wordt geopend, verschijnt een valse melding van Google Protect om het bestand te openen. Als de gebruikers op OK drukt, wordt de beveiliging van Android uitgeschakeld.

Dat opent de poorten van de gevaarlijkste virussen die binnen Android ontdekt is: het Anubis-virus. Het virus teistert al enkele jaren heel wat toestellen, en vindt altijd weer een manier om terug te komen eens het uitgeschakeld wordt. Het virus scant mobile bank- of betaalapps om zo de inloggegevens te kunnen stelen. Dat kan het voor meer dan 260 verschillende bankierapps doen. Maar het virus kan ook zelfstandig screenshots maken, contactlijsten stelen, sms’en versturen, audio opslaan etc.

Daarnaast komt het ook nog met eens ransomware component .AnubisCrypt. Dat slaat gegevens uit de interne en externe opslag op en verzendt die via een geëncrypteerd bestand naar een server die beheerd wordt door de aanvallers. Eens de aanvallers alle gegevens hebben die ze willen, kunnen ze via de ransomware ook het toestel blokkeren.

De twee aanvallen tonen nog maar eens de grote beveiligingsproblemen waar Android maar mee blijft worstelen. Op dat vlak zit Google nog steeds met een grote achterstand ten aanzien van Apple.