Tool injecteert backdoor in legitieme Android-apps
Op fora voor cybercriminelen wordt een programma aangeboden waarmee het mogelijk is om een open source backdoor aan legitieme Android-apps toe te voegen. De backdoor heet 'Android RAT' en is een remote access tool (RAT) waarmee aanvallers een besmet toestel op afstand kunnen besturen. Zo kan AndroRAT telefoongesprekken afluisteren en sms-berichten onderscheppen.
Daarnaast kan het de GPS-coordinaten doorsturen en de camera en microfoon activeren. Om AndroRAT te verspreiden is er nu een nieuwe tool verschenen genaamd Androrat APK Binder. Hierdoor kunnen cybercriminelen met beperkte kennis de AndoRAT aan legitieme Android-apps toevoegen.
Infecties
Zodra een nietsvermoedende gebruiker de besmette app installeert, wordt tegelijkertijd AndroRAT geïnstalleerd. Anti-virusbedrijf Symantec ontdekte 23 gevallen waarbij legitieme apps van de remote access tool waren voorzien. Wereldwijd gaat het om een paar honderd infecties, voornamelijk in de Verenigde Staten en Turkije.
"De ontwikkeling van remote access tools op het Android-platform was voorspeld", zegt Andrea Lelli van Symantec. "Hoewel AndroRAT nog niet erg geraffineerd is, heeft het door de groeiende populariteit en open source code de potentie om een gevaarlijkere dreiging te worden."
Hoe?
Echter als je applicaties uit onveilige bronnen toelaat, dan zijn er diverse mannieren om een ontwetende gebruiker over te halen om een (eventueele onveilige app) te installeren buiten de playstore om
BV.
Simpel weg een "gekraakte / warez" versie van een ap aanbieden (met toegevoegde malware) in de hoop dat een gebruikt deze buiten de playstore om installeerd.
BV.
Een (veilig bevonden) app geinstalleerd via play store download naar de sdcard een malware app en triggerd het OS om de app te installeren. (dit gaat dan buiten de playstore om)
- de gebruiker moet daarvoor dan wel toestemmingen geven
- via social engenering kun je veel gebruikers overhalen alle waarschuwingen te negeren zodat het toch geinstalleerd word.
(b.v door vooraf een schermpje toonen met iets in de trant van "accepteer de volgende update om de nieuwe versie te activeren")
Installatie vanaf een WINDOWS PC
Als je ook nog DEBUG mode aanzet en je android device via USB aan de PC hangt, is het ook mogelijk dat er vanuit windows een applicatie geinstalleerd gaat worden op je android device. Hiervan zul je op je android geen enkele melding zien. Dus het zou mogelijk zijn om via windows malware android malware op je android device te installeren.
- ps er is wel een icontje zichtbaar in de notification bar als de debug connectie actief is.
- ps android 4.2+ heeft een extra beveiliging zodat debug connecties eerst bevestigd moeten
Dus tenzij de een android exper / ontwikkelaar bent
- installeren vanuit onveilige bronnen nooit activeren
- debug mode altijd uit laten staan
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
