A
Abraham54
Gast
Malware in Google Play Store blijft vier jaar lang onopgemerkt
donderdag 14 mei 2020, 12:31 door Redactie, 2 reacties
In de Google Play Store is malware ontdekt die zeker vier jaar lang onopgemerkt wist te blijven en onder andere klanten van ABN Amro als doelwit had, zo laat antivirusbedrijf Bitdefender vandaag weten (pdf). De makers van de malware, die de naam Mandrake heeft gekregen, deden veel moeite om onder de radar blijven. Zo reageerden ze zelfs op negatieve recensies van nietsvermoedende gebruikers die de malafide apps installeerden en kwamen ze met oplossingen voor klachten.
Een belangrijke reden waarom de malware zolang onopgemerkt bleef is dat de makers erg selectief zijn in de gebruikers die ze infecteren. De apps in de Google Play Store waren allemaal legitieme apps met namen als Abfix, CoinCast, SnapTune Vid, Currency XE Converter, Office Scanner, Horoskope en Car News. Voor sommige van de apps waren ook pagina's op Facebook, Twitter, Telegram, Reddit en YouTube aangemaakt. Op deze manier wilden de makers gebruikers ervan overtuigen dat het om legitieme apps ging.
Eenmaal actief vragen de legitieme apps aan gebruikers om een aanvullende app te installeren. Deze app kijkt of de gebruiker een interessant doelwit is en downloadt de uiteindelijke malware. Via allerlei visuele trucs wordt het slachtoffer vervolgens verleid om de malware allerlei permissies te geven. Het kan dan bijvoorbeeld om zogenaamde gebruikersvoorwaarden gaan waaronder een dialoogknop is verborgen die de app allerlei permissies verleent.
Zodra de malware operationeel is voert die via een combinatie van social engineering en JavaScript-injectie inloggegevens voor accounts te stelen, waaronder Amazon, AliExpress, Microsoft Outlook, Coinbase, PayPal, Google Pay en verschillende bank-apps, waaronder die van ABN Amro. Wanneer de JavaScript-injectie mislukt maakt de malware een schermopname die als MP4-bestand wodt opgeslagen en later verstuurd.
Verder kan de malware sms-berichten versturen en onderscheppen, telefoonnummers bellen, notificaties verbergen, locatiegegevens stelen en een fabrieksreset uitvoeren. Op deze manier worden alle sporen van de malware verwijderd. In ongeveer negentig landen, waaronder die met lage inkomens, stopt de malware met werken. Ook werkt de malware niet op telefoons zonder simkaart of waarvan de simkaarten door bepaalde providers zijn uitgegeven. Het aantal infecties in de afgelopen vier jaar is onbekend, maar Bitdefender schat dat het om honderdduizenden telefoons gaat.
Bron:
