Drive-by malware duikt op voor Android

door

android trojan

door

Nieuws - Het veelgebruikte Android wordt door cybercriminelen nu ook 'bediend' met zogeheten drive-by malware. Bezoeken van een besmette site levert een malafide app op.

De kwaadaardige code wordt automatisch gedownload door de smartphone van het slachtoffer. Vooralsnog heeft de malware geen exploit voor Android aan boord: het maakt dus geen gebruik van een gat in dat besturingssysteem. Hierdoor is de aangeboden 'app' na de auto-download niet direct actief op het toestel.

Normaliter is drive-by malware ook voorzien van middelen om beveiligingsgaten in programma's of besturingssystemen te benutten zodat het zichzelf meteen kan uitvoeren. Android heeft wel dergelijke gaten, die door gebruikers zijn te benutten om hun toestel te rooten (ook wel jailbreaken genoemd). Die gaten worden gedicht met updates, maar van Android zijn nog veel oudere versies in gebruik: 2.2 en 2.3.3 zijn nog altijd goed voor bijna 85 procent van alle Android-apparaten.

Zogenaamde security-update

De nu ontdekte allereerste drive-by malware voor Android vereist dus nog wel een handeling door de gebruiker van het toestel. De binnengekomen download (Update.apk) doet zich voor als een security-update voor Android en schotelt de gebruiker een venster voor om het te installeren.

Als de gebruiker hier intrapt, wordt de malware actief. Hiervoor moet wel de Android-optie van sideloading aanstaan; het toestaan van apps uit andere bronnen dan de officiële app-winkel (Play, voorheen Android Market) van Google.

De gebruiker moet nog wel op 'ok' klikken:
Klik voor groot

De dan actieve Trojan blijkt een relatief eenvoudige TCP-relay, ofwel proxy, te zijn. Het richt in eerste instantie geen schade aan, blogt ontdekker Lookout Mobile Security. Die beveiligingsleverancier heeft zijn eigen product al voorzien van bescherming tegen deze malware, die het NotCompatible heeft gedoopt. Het bedrijf waarschuwt wel dat cybercriminelen via deze Trojan toegang kunnen krijgen tot interne netwerken waar een Android-toestel dan mee is verbonden.

Android-specifiek

NotCompatible wordt verspreid via reguliere websites, zoals die van een verdelgingsbedrijf. Dergelijke sites zijn middels een hack voorzien van een verborgen iframe onderaan elke pagina. Het bezoeken van zo'n besmette website vanaf een pc, Mac, iPhone of ander niet-Android systeem levert geen reactie op van de daar zich schuil houdende malware. Volgens Lookout zijn er nu vele websites die besmet zijn met deze eerste drive-by malware voor Android.

De malware doet zich voor als security-update:
Klik voor groot

Lees meer over:

website, besmet, malware, android, drive-by

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.