Populaire goedkope Android-tablet verkocht mét malware: ook in Nederland en België
De malware die op deze toestellen staat, Keenadu geheten, is geen onbekende. Nieuw is wel dat de malware nu stilletjes verwerkt is in de firmware van sommige goedkopere Android-tablets, zo ontdekten onderzoekers van Kaspersky’s SecureList-onderzoeksteam.
Omdat de malware verwerkt zit in de firmware, kunnen hackers ongezien hun gang gaan. Er is immers geen app die prijsgeeft dat er malware op het toestel staat. Gebruikers kwamen er uiteindelijk achter dankzij vreemde DNS-verzoeken van hun tablet, zegt Kaspersky. De verzoeken wezen rechtstreeks naar de infrastructuur van de malware.
Geïnfecteerd tijdens de ontwikkelfase
Onderzoek wijst verder uit dat de firmware geïnfecteerd raakte tijdens de ontwikkeling ervan. De malafide software werd in die fase gelinkt aan libandroid_runtime.so. En zodra de malware actief was, injecteerde ze zichzelf in het Zygote-proces van Android. Hackers krijgen via dat proces vrije toegang tot gebruikersdata; daarnaast kunnen ze het toestel op afstand besturen via de malware.
Ook kon de malware misbruikt worden om app-installaties te volgen, om er geld aan te verdienen, en om advertenties te manipuleren. Dat laatste staat bekend als advertentiefraude: cybercriminelen proberen daarbij hun eigen advertenties te injecteren om daar financieel beter van te worden.
Opvallend is dat de malware actief bleef nádat de fabrikant het probleem erkende. Ook nieuwe firmwareversies bevatten nog steeds de gevaarlijke Android-trojan. Dat alle firmware getekend is met een geldig certificaat, wijst er alvast op dat hackers zelf niet aan de firmware gesleuteld hebben. Het lijkt dus aan de fabrikant of diens partners om dit te verhelpen.
In sommige gevallen werd de malware ook pas later op toestellen geïnstalleerd en stond die er dus nog niet op vanuit de doos.
Welke Android-tablets zijn geïnfecteerd?
Voorlopig is er slechts één Android-tablet achterhaald waarvan de firmware geïnfecteerd is met Keenadu: de Alldocube iPlay 50 mini Pro. Alldocube liet eerder al weten dat de firmware van één van zijn tablets getroffen was, maar liet in het midden om welk model het precies ging.
De tablet werd ook in Europa verkocht, waaronder in België en Nederland. Onze noorderburen staan zelfs op de lijst van hardst getroffen landen door deze infectie. Naast Nederland gaat het om Brazilië, Duitsland, Japan en Rusland.
