Nieuws
image

Malware besmet Android automatisch via gehackte sites

donderdag 3 mei 2012, 09:58 door Redactie, 4 reacties

Voor het eerst zijn er drive-by download-aanvallen op smartphones en tablets waargenomen, waarbij er geprobeerd wordt Android-toestellen met een Trojaans paard te infecteren. In tegenstelling tot soortgelijke aanvallen op Windows- en Mac-computers is er nog wel enkele interactie van de gebruiker vereist. De aanval werd als eerste gerapporteerd op Reddit.

Een gebruiker meldt daar hoe er tijdens het bezoeken van een website automatisch een bestand genaamd update.apk werd gedownload en hij de vraag kreeg om het te installeren. De smartphone werd beschermd door de mobiele virusscanner van Lookout, die echter geen alarm sloeg. Het anti-virusbedrijf onderzocht de melding en ontdekte dat het om een Trojaans paard gaat dat automatisch op Android-toestellen wordt gedownload en zich vervolgens probeert te installeren.

Om de installatie mogelijk te maken moet de gebruiker de instelling om downloads vanaf “Unknown sources” toe te staan hebben ingeschakeld. Als dit niet is ingesteld, wat standaard het geval is, wordt de installatie geblokkeerd.

Websites
De gehackte websites die de malware verspreiden bevatten een iframe dat naar het domein gaoanalitics.info wijst. Als een computergebruiker deze pagina vanaf zijn pc bezoekt gebeurt er niets, maar wordt de website vanaf een Android-toestel geladen, dan wordt er een bestand van het domein androidonlinefix.info geladen.

Het Trojaanse paard dat de website downloadt wordt NotCompatible genoemd en zou als een eenvoudige TCP relay/proxy fungeren. Volgens Lookout veroorzaakt de malware geen directe schade aan het apparaat, maar kan het in potentie worden gebruikt om illegaal toegang tot private netwerken te krijgen, door geïnfecteerde Android-toestellen als een proxy te gebruiken.

Ook Lookout bevestigt dat dit de eerste keer in de geschiedenis is dat gehackte websites Android-malware verspreiden.

Reacties (4)
03-05-2012, 10:48 door Vergeten
Ik vind de titel niet kloppen bij de rest van het artikel.

Want het gebeurt niet automatische, staat zelf: "Om de installatie mogelijk te maken moet de gebruiker de instelling om downloads vanaf “Unknown sources” toe te staan hebben ingeschakeld. Als dit niet is ingesteld, wat standaard het geval is, wordt de installatie geblokkeerd. "

Oftewel, wordt dit nog steeds door de gebruiker zelf geïnstalleerd. Zo kan ik namelijk ook zeggen dat auto's automatische rijden, mits natuurlijk er een bestuurder is die de auto aanzet en ermee rijd. Daarnaast vind ik dit ook geen echte Drive-By omdat er waarschijnlijk gewoon gebruik gemaakt wordt van <a href></a> HTML Code (in de iFrame) wat zelfs kind van drie jaar nog kan maken. Maar goed Drive-By is een breed begrip.

Dit is 101% bangmakerij richting de wereld dat je dus opeens "niet veilig" kan browsen met een Android toestel.
03-05-2012, 11:25 door Anoniem
Door Vergeten: Ik vind de titel niet kloppen bij de rest van het artikel.

Want het gebeurt niet automatische, staat zelf: "Om de installatie mogelijk te maken moet de gebruiker de instelling om downloads vanaf “Unknown sources” toe te staan hebben ingeschakeld. Als dit niet is ingesteld, wat standaard het geval is, wordt de installatie geblokkeerd. "
Die instelling is een eenmalige instelling in de systeem configuratie van je telefoon. Als je APK's wilt installeren vanaf je computer/sdkaart/andere market moet je het zo hebben staan, anders kun je alleen installeren vanuit de android market (Google Play). Dus dat vereist op het moment zelf geen gebruikersinteractie.


Als je inderdaad een popup krijgt of je het bestand update.apk wilt installeren, dan ben ik het met je eens dat het geen echte drive-by is, want nog steeds gebruikersinteractie vereist.
03-05-2012, 13:09 door Anoniem
Die instelling heb ik gewoon standaard uitstaan. Alleen als ik een apk rechtstreeks installeer zet ik hem even aan. Ik mag toch hopen dat mensen die handmatig apk's installeren ook het besef hebben dat deze instelling gevaarlijk is om aan te laten staan.
04-05-2012, 10:34 door Vergeten
Door Anoniem:
Door Vergeten: Ik vind de titel niet kloppen bij de rest van het artikel.

Want het gebeurt niet automatische, staat zelf: "Om de installatie mogelijk te maken moet de gebruiker de instelling om downloads vanaf “Unknown sources” toe te staan hebben ingeschakeld. Als dit niet is ingesteld, wat standaard het geval is, wordt de installatie geblokkeerd. "
Die instelling is een eenmalige instelling in de systeem configuratie van je telefoon. Als je APK's wilt installeren vanaf je computer/sdkaart/andere market moet je het zo hebben staan, anders kun je alleen installeren vanuit de android market (Google Play). Dus dat vereist op het moment zelf geen gebruikersinteractie.


Als je inderdaad een popup krijgt of je het bestand update.apk wilt installeren, dan ben ik het met je eens dat het geen echte drive-by is, want nog steeds gebruikersinteractie vereist.

Naja dat is het dus ook, je krijgt een pop-up met de text als je de update.apk wilt installeren. Die geeft ook aan dat hij volledige internet toegang nodig heeft. Dus op dit punt ben je idd met mij eens dan =P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure