image

Gerichte malware-aanval op Android-gebruikers

dinsdag 26 maart 2013, 13:53 door Redactie, 0 reacties

Het tijdperk dat alleen Windows- en Mac-gebruikers het doelwit van gerichte malware-aanvallen waren is voorbij, nu er ook voor het eerst een gerichte aanval op meerdere Android-gebruikers is ontdekt. Aanvallers hackten het e-mailaccount van een bekende Tibetaanse activist en gebruikten zijn adresboek om andere mensenrechtenactivisten aan te vallen.

In het verleden werden slachtoffers van dit soort aanvallen bestookt met e-mails met ZIP-, PDF- of DOC-bestanden als bijlage. Deze nieuwe aanval had als bijlage een APK-bestand toegevoegd en bleek een kwaadaardig programma voor Android-toestellen te zijn.

De aanval op de Tibetaanse activist vond op 24 maart van dit jaar plaats. Binnen 20 uur hadden de aanvallers zijn account gebruikt om spear phishingmails naar zijn adresboek te sturen.

Backdoor
De bijlage met het Android-bestand werd als brief over een conferentie voorgedaan. Na de installatie is er een applicatie bijgekomen die informatie over de conferentie in kwestie bevat. In werkelijkheid gaat het om een backdoor die aanvallers toegang tot het Android-toestel geeft.

De malware verzamelt daarnaast het adresboek, gespreksgegevens, sms-berichten, locatiegegevens en telefoongegevens, zoals telefoonnummer, besturingssysteemversie, telefoonmodel en SDK-versie.

De informatie wordt niet automatisch naar de aanvallers gestuurd. De malware wacht hiervoor op een sms-bericht met een specifiek commando.

Social engineering
De Command & Control-server die de besmette toestellen aanstuurt draait op Windows Server 2003 en is van een Chinese taalinstelling voorzien. Volgens het Russische anti-virusbedrijf Kaspersky Lab, dat de aanval ontdekte, is dit samen met de gevonden logbestanden een sterke aanwijzing dat de aanvallers Chinees spreken.

"Tot nu toe hadden we geen gerichte aanvallen tegen mobiele telefoons gezien, hoewel er wel aanwijzingen waren dat deze werden ontwikkeld", zegt analist Costin Raiu. "Misschien is dit de eerste in een nieuwe golf van gerichte aanvallen op Android-gebruikers."

Aangezien de aanval volledig van social engineering afhankelijk is, adviseert hij gebruikers geen APK-bestanden die via e-mail verstuurd zijn te installeren. Toch sluit Raiu niet uit dat aanvallers in de toekomst ook zero-day-lekken zullen toepassen om toestellen te infecteren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.