Onderzoekers waarschuwen voor een nieuwe aanval waarbij Android-apparaten automatisch na het te zien krijgen van een advertentie met ransomware worden besmet. Het is de eerste keer dat een dergelijke aanval op het Androidplatform is waargenomen.

Drive by-downloads, waarbij kwetsbaarheden in browsers, browserplug-ins en besturingssystemen worden gebruikt om automatisch malware te verspreiden, vinden al lange tijd op Windows plaats. Ook Mac OS X kreeg enkele jaren terug met een dergelijke aanval te maken. Nu melden onderzoekers van Blue Coat dat ze de eerste drive by-download voor Android hebben waargenomen. Het gaat om een advertentie met kwaadaardige JavaScript-code. Deze code maakt gebruik van een kwetsbaarheid in Android om de ransomware te installeren. Hierbij krijgen gebruikers niets te zien en is er ook geen interactie van gebruikers vereist.

De exploit die de aanvallers gebruiken is afkomstig van het Italiaanse Hacking Team en werd vorig jaar na een inbraak bij het bedrijf op internet gelekt. De exploit bevat weer andere kwaadaardige code, een Linux ELF-bestand genaamd module.so. Dit ELF-bestand bevat weer de code van de Towelroot-exploit (ook bekend als futex) die eind 2014 voor het eerst verscheen. Via deze code wordt stilletjes een Android-applicatie op het toestel gedownload en geïnstalleerd, wat de ransomware is. Het toestel van Blue Coat dat besmet raakte was een oudere Samsung-tablet, draaiend op Cyanogenmod 10. Dit is een aangepaste versie van Android 4.2.2.

Volgens Blue Coat bevinden deze oudere Android-apparaten zich nu in dezelfde situatie als Windows XP. Het besturingssysteem werkt nog, maar ontvangt geen beveiligingsupdates meer, wat het risico op een malware-infectie vergroot. Het beveiligingsbedrijf ontdekte dat sinds 22 februari van dit jaar 224 unieke Android-modellen met de server van de aanvallers communiceerden. Het ging om toestellen die Androidversies tussen versie 4.0.3 en versie 4.4.4 draaien. "Het feit dat sommige van deze toestellen niet kwetsbaar voor de Hacking Team-exploit zijn, houdt in dat er mogelijk andere exploits zijn gebruikt om deze toestellen te infecteren", aldus Blue Coat.

Ransomware

Zodra de ransomware geïnstalleerd is krijgen gebruikers een melding te zien om 200 dollar via een iTunes-giftcard te betalen. Dit is opmerkelijk, aangezien de meeste ransomware om een betaling in bitcoin vraagt. De ransomware zorgt er uiteindelijk voor dat er geen andere software meer kan worden gestart. De malware overleefde het flashen van Android naar een nieuwere Androidversie, maar verdween na een fabrieksreset, aangezien hierbij alle applicaties van de gebruiker worden verwijderd.

Gebruikers krijgen dan ook het advies om een back-up van hun belangrijkste foto's, video's en andere bestanden niet op hun telefoon of tablet te bewaren. Op deze manier kunnen getroffen gebruikers namelijk een fabrieksreset uitvoeren en hoeven zich geen zorgen te maken dat belangrijke gegevens verloren gaan. Verder wordt aangeraden om de ingebouwde Browser-app van Android 4.x te vervangen door een meer recentere browser.