Een Android-app die zich als een werkend exemplaar van boter-kaas-en-eieren voordoet blijkt in werkelijkheid mobiele spyware te zijn die geluid op kan nemen en sms-berichten en zakelijke e-mails steelt. Voor de installatie vraagt de app om een groot aantal permissies, zoals toegang tot het internet, het adresboek van de gebruiker en het sms-archief en de mogelijkheid om geluid op te nemen.
Om gebruikers niets te laten vermoeden biedt de app ook een werkende versie van boter-kaas-en-eieren. Het spelgedeelte van de app is voor slechts 30% van de code verantwoordelijk. De rest wordt door het spyware-gedeelte ingenomen. Zo probeert de kwaadaardige code een root-exploit uit te voeren om rootrechten te krijgen. Als dit lukt probeert de Gomal Trojan, zoals de spyware wordt genoemd, e-mails uit het programma Good for Enterprise te stelen.
Verder wordt er allerlei andere informatie over het toestel verzameld, onder andere om meer informatie van andere geïnstalleerde apps te kunnen stelen. "Zo geeft een ogenschijnlijk onschuldig spelletje van boter-kaas-en-eieren cybercriminelen een enorme hoeveelheid persoonlijke en zakelijke data", aldus Anton Kivva van Kaspersky Lab. Waar de app werd gevonden laat de virusbestrijder niet weten, maar Kivva adviseert gebruikers om alleen apps van de officiële app stores te downloaden, wat suggereert dat de app niet op Google Play werd aangeboden.
Good Technology laat in een reactie aan Security.NL weten dat er hier helemaal geen sprake van een nieuwe app is, maar een proof-of-concept app die Lacoon tijdens de BlackHat 2013 conferentie presenteerde. De app werkt daarnaast alleen op Samsung-toestellen waar een lek uit 2012 aanwezig is. De kwetsbaarheid zou al anderhalf jaar geleden zijn gepatcht. Verder kan de app alleen het geheugen uitlezen als het toestel is geroot. Volgens Good Technology gaat het hier dan ook niet om echte malware die al actief in het wild wordt gebruikt.
Kaspersky stelt hierop dat het wist dat het lek niet nieuw was. Veel gebruiker zouden echter nog met kwetsbare toestellen rondlopen. Daarnaast zou een aantal functies van de malware, zoals het opnemen van audio en stelen van sms-berichten, ook op niet-geroote toestellen werken. Het anti-virusbedrijf wist echter niet dat de app als proof-of-concept was ontwikkeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.