Let op: deze malware vermomt zich als Google Play-update
Meestal verspreiden cybercriminelen hun malware via kwaadaardige apps in de Play Store of via losse installatiebestanden. Ditmaal gaan ze echter anders te werk, melden beveiligingsonderzoekers van Cyble. De ‘Antidot’-malware wordt namelijk vermomd als een onschadelijke Google Play-update. Slachtoffers ontvangen de zogenaamde update via een e-mail of sms-bericht waarin ze op de hoogte worden gebracht van een belangrijke update voor Android.
Tijdens het installatieproces van de malware worden nietsvermoedende slachtoffers doorverwezen naar het menu met toegankelijkheidsopties. Hier moeten ze de app toestemming geven om het systeem te bedienen. Zo kunnen de hackers niet alleen zien wat je doet, maar ook de telefoon naar believen bedienen. Bovendien kunnen ze hiermee een overlay tonen: een paneel dat de geopende app verbergt.
In de praktijk proberen de hackers de geopende app zo goed mogelijk na te bootsen. Ze hopen dat je vervolgens je bankgegevens of andere persoonlijke gegevens invult. Deze gegevens worden vervolgens misbruikt om het slachtoffer op te lichten. Verder kan de Antidot-malware worden gebruikt voor ‘Command and Control’-aanvallen. Dit betekent dat hackers het apparaat overnemen en zelf kunnen bedienen. Op die manier kunnen ze bijvoorbeeld de camera’s activeren, maar ook de acties op het scherm vastleggen.
SOS-commando
Cyble heeft ook ontdekt dat de Antidot-malware een SOS-commando bevat. Hiermee kan de malware op elk gewenst moment van het apparaat worden verwijderd. Wanneer hackers het SOS-commando versturen, krijgt de gebruiker een scherm te zien om de app te verwijderen. Ook zal de malware alle verdere communicatie met het apparaat stopzetten. Vermoedelijk gebruiken ze dit commando als ze een ‘ongewenst’ apparaat hebben geïnfecteerd.
Dat apparaat komt dan mogelijk van buiten het gekozen taalgebied. Volgens de hackers wordt het Google Play-paneel in diverse talen getoond, waaronder Duits, Engels, Frans, Portugees, Roemeens, Russisch en Spaans. Het is niet duidelijk of de malware ook aan Nederlandstalige gebruikers wordt aangeboden.
Hoe wapen je jezelf tegen deze malware?
Gelukkig is het voor gebruikers relatief eenvoudig om zich tegen de malware te beschermen. Google biedt namelijk nooit updates aan van buiten de Play Store. Bovendien worden updates van de Play Store altijd automatisch geïnstalleerd. Wil je er zeker van zijn dat je ook de laatste Play-update voor je telefoon hebt geïnstalleerd? Controleer dan het tabblad ‘Beveiliging en privacy’ in het updatemenu van het instellingenmenu op je Android-telefoon.
Installeer dus zeker geen updates via losse installatiebestanden. Vertrouw je de zaak niet helemaal? Dan kan je de ‘update’ beter laten liggen.