Hoe ransomware de smartphone verovert
Verschillende beveiligingsbedrijven stelden vast dat infecties met mobiele ransomware sterk aan het stijgen zijn. ESET spreekt van een groei in bedreigingen van 50 procent in het afgelopen jaar, terwijl Kaspersky in het eerste kwartaal van 2017 een stijging van 250 procent vaststelde. Beide organisaties zijn het erover eens dat het gros van de aanvallen gericht is op doelwitten in de VS. Daarbij volgt mobiele ransomware de geografische voorkeur van zijn grotere broertjes op de pc. Om onze smartphones veilig te houden van ransomware, moeten we begrijpen hoe de nieuwe vorm van malware werkt, en welke specifieke gevaren ze met zich mee brengt.
Ransomware en Google Play
Om zoveel mogelijk toestellen te infecteren, willen cybercriminelen hun ransomware zo veel mogelijk in de Google Play Store krijgen. Via die officiële appwinkel van Google hopen ze de malware sneller te verspreiden, en meer winst te boeken. Het is niet eenvoudig voor ransomware om zich toegang te verschaffen tot de Store. De winkel is beveiligd en de code van de ransomware-apps verraadt de duidelijk kwaadwillige bedoelingen ervan.
Toch ontdekten onderzoekers van Check Point al een ransomware-variant die de Play Store wel binnenraakte. De ransomware, Charger genaamd, had zijn malafide code slim verstopt. De succesvolle infiltratie kan wel eens een teken aan de wand zijn voor wat we in de nabije toekomst mogen verwachten.
Totale versleuteling
Mobiele ransomware werkt niet helemaal op dezelfde manier als gelijkaardige malware voor de pc. Bestaande varianten versleutelen slechts bepaalde delen van de smartphone, zodat veel bestanden gevrijwaard blijven. Soms ontzegt de malware zelfs gewoon de toegang van de gebruiker tot zijn toestel, zonder bestanden te versleutelen. Aanvallers kiezen voor die minder drastische aanpak omdat mobiele toestellen hogere privileges eisen van applicaties voordat ze toegang krijgen tot bepaalde delen van het geheugen. Dat maakt het voor hackers een stuk moeilijker om data op de hele smartphone te versleutelen.
We kunnen er desalniettemin veilig vanuit gaan dat criminelen op termijn zullen proberen om alle gegevens op een toestel te versleutelen, inclusief de SD-kaart. Daar staan immers vaak de meest waardevolle gegevens. Misschien zullen ze de telefoon daarvoor moeten rooten, maar dat zal hen vermoedelijk niet afschrikken. Slaagt ransomware erin om werkelijk het hele toestel te versleutelen, dan blijven er voor de eigenaar weinig opties over, behalve losgeld betalen.
Samen sterker
Malware gericht op internetbankieren op de pc wordt steeds minder populair, maar de mobiele tegenhangers hiervan zijn nog wel erg succesvol. Dat komt omdat ze best eenvoudig langs beveiligingsmechanismen zoals tweefactorauthenticatie heen raken. Het is goed mogelijk dat dergelijke bankingmalware in de toekomst ook een ransomware-component zal bevatten, om gebruikers zo te beletten de aanval tegen te houden. Een gelijkaardige aanpak zagen we al met de GameoverZeus-malware. Die combineerde DDoS-aanvallen met bankfraude, en zorgde ervoor dat slachtoffers weinig konden doen om de fraude te stoppen.
Check Point ontdekte al vroege tekenen van samenwerking tussen twee malwaretypes bij BankBot. Die bankingmalware gebruikte een techniek om zijn malafide code te verstoppen die we eerst zagen bij ransomware in de Google Play Store.
Open achterpoortje
Mobiele platformen bieden hackers een onbeschermde toegangspoort waarlangs ze gevoelige netwerken met ransomware kunnen infecteren. Begin vorig jaar zagen we enkele heel doelgerichte ransomware-aanvallen gericht op ziekenhuizen en andere kritieke diensten. Dergelijke aanvallen brengen een enorme druk voor de betaling van losgeld met zich mee. De aanvallers hadden hun slachtoffers met de hand uitgekozen, en eisten een extreem hoog bedrag in ruil voor een decryptiesleutel.
Als reactie op zo’n aanvallen implementeren organisaties steeds betere beveiliging. Dat zet hackers ertoe aan om nieuwe onbeschermde toegangswegen tot het netwerk te zoeken. Al te vaak voldoen smartphones aan die omschrijving. Via een geïnfecteerd mobiel toestel kunnen hackers dan de rest van het netwerk kraken en de hele organisatie afpersen.
We verwachten dat mobiele ransomware zal blijven groeien, en steeds krachtiger zal worden. Zo proberen cybercriminelen alsmaar meer winst te maken. Zowel organisaties als gebruikers houden deze nieuwe bedreigingen best in het achterhoofd, zodat ze de nodige voorzorgsmaatregelen kunnen nemen. Mobiele toestellen zijn alomtegenwoordig, en mobiele malware op hun maat geschreven is dat stilaan ook. Je doet er dan ook goed aan om je smartphone even goed te beschermen als alle andere toestellen op je netwerk.