Advertentie besmet Android-apparaten met ransomware
Onderzoekers waarschuwen voor een nieuwe aanval waarbij Android-apparaten automatisch na het te zien krijgen van een advertentie met ransomware worden besmet. Het is de eerste keer dat een dergelijke aanval op het Androidplatform is waargenomen.
Drive by-downloads, waarbij kwetsbaarheden in browsers, browserplug-ins en besturingssystemen worden gebruikt om automatisch malware te verspreiden, vinden al lange tijd op Windows plaats. Ook Mac OS X kreeg enkele jaren terug met een dergelijke aanval te maken. Nu melden onderzoekers van Blue Coat dat ze de eerste drive by-download voor Android hebben waargenomen. Het gaat om een advertentie met kwaadaardige JavaScript-code. Deze code maakt gebruik van een kwetsbaarheid in Android om de ransomware te installeren. Hierbij krijgen gebruikers niets te zien en is er ook geen interactie van gebruikers vereist.
De exploit die de aanvallers gebruiken is afkomstig van het Italiaanse Hacking Team en werd vorig jaar na een inbraak bij het bedrijf op internet gelekt. De exploit bevat weer andere kwaadaardige code, een Linux ELF-bestand genaamd module.so. Dit ELF-bestand bevat weer de code van de Towelroot-exploit (ook bekend als futex) die eind 2014 voor het eerst verscheen. Via deze code wordt stilletjes een Android-applicatie op het toestel gedownload en geïnstalleerd, wat de ransomware is. Het toestel van Blue Coat dat besmet raakte was een oudere Samsung-tablet, draaiend op Cyanogenmod 10. Dit is een aangepaste versie van Android 4.2.2.
Volgens Blue Coat bevinden deze oudere Android-apparaten zich nu in dezelfde situatie als Windows XP. Het besturingssysteem werkt nog, maar ontvangt geen beveiligingsupdates meer, wat het risico op een malware-infectie vergroot. Het beveiligingsbedrijf ontdekte dat sinds 22 februari van dit jaar 224 unieke Android-modellen met de server van de aanvallers communiceerden. Het ging om toestellen die Androidversies tussen versie 4.0.3 en versie 4.4.4 draaien. "Het feit dat sommige van deze toestellen niet kwetsbaar voor de Hacking Team-exploit zijn, houdt in dat er mogelijk andere exploits zijn gebruikt om deze toestellen te infecteren", aldus Blue Coat.
Ransomware
Zodra de ransomware geïnstalleerd is krijgen gebruikers een melding te zien om 200 dollar via een iTunes-giftcard te betalen. Dit is opmerkelijk, aangezien de meeste ransomware om een betaling in bitcoin vraagt. De ransomware zorgt er uiteindelijk voor dat er geen andere software meer kan worden gestart. De malware overleefde het flashen van Android naar een nieuwere Androidversie, maar verdween na een fabrieksreset, aangezien hierbij alle applicaties van de gebruiker worden verwijderd.
Gebruikers krijgen dan ook het advies om een back-up van hun belangrijkste foto's, video's en andere bestanden niet op hun telefoon of tablet te bewaren. Op deze manier kunnen getroffen gebruikers namelijk een fabrieksreset uitvoeren en hoeven zich geen zorgen te maken dat belangrijke gegevens verloren gaan. Verder wordt aangeraden om de ingebouwde Browser-app van Android 4.x te vervangen door een meer recentere browser.
Ik kan me voorstellen dat leveranciers na een lange periode (zeg ergens tussen de 5-10 jaar na laatste levering) geen software updates meer doen, maar dat een apparaat dat je pas een jaar hebt, al een "XP" status krijgt is bijna misdadig.
Ik kan me voorstellen dat leveranciers na een lange periode (zeg ergens tussen de 5-10 jaar na laatste levering) geen software updates meer doen, maar dat een apparaat dat je pas een jaar hebt, al een "XP" status krijgt is bijna misdadig.
Of je het leuk vind of niet, feit is dat de verwachte levensduur van een mobile device op dit moment 18 maanden is. Kortom je zou elke 2 jaar een nieuwe GSM / Tablet moeten halen. Natuurlijk doen we dit als consument niet, daardoor onstaan risico's.
Mijn HTC kreeg na 6 maanden al geen updates meer, er is ook geen vervangend OS voor dus ik werk nog met Android 2.4!
Mijn HTC kreeg na 6 maanden al geen updates meer, er is ook geen vervangend OS voor dus ik werk nog met Android 2.4!
Leuk, alleen wel jammer dat versie 2.4 niet bestaat.
Leuk, alleen wel jammer dat versie 2.4 niet bestaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
