Onderzoekers hebben malware voor Windows ontdekt die in staat is om kwaadaardige apps op Android- en iOS-toestellen te installeren en allerlei gegevens van de apparaten kan stelen. De malware wordt DualToy genoemd en is al sinds begin vorig jaar actief.
Zodra de malware een Windowscomputer heeft besmet installeert het de Android Debug Bridge (ADB) en iTunes-drivers voor Windows. Zodra de eigenaar via de usb-aansluiting een Android- of iOS-toestel aansluit maakt de malware gebruik van bestaande pairing/autorisatiegegevens om toegang tot het aangesloten apparaat te krijgen. Dit is nodig omdat zowel Android als iOS beveiligingsmaatregelen tegen het "sideloaden" van apps hebben genomen.
Sinds Android 4.2 moet een gebruiker handmatig een ADB-sessie bevestigen. Als dit echter al een keer is gebeurd worden er op de computer sleutelbestanden aangemaakt. De malware maakt hiervan gebruik om de controle te omzeilen. Verder gaat DualToy ervan uit dat de gebruiker ADB op zijn Android-toestel heeft ingeschakeld. Iets dat standaard niet staat ingeschakeld. Als aan deze eisen is voldaan zal de malware op aangesloten Android-toestellen allerlei apps installeren, voornamelijk "riskware" en adware, zo meldt beveiligingsbedrijf Palo Alto Networks.
In het geval van iOS-toestellen wordt er eerst gecontroleerd of iTunes op het systeem staat. Is dit niet het geval, dan worden de iTunes-drivers geïnstalleerd die de computer met het iOS-toestel laten communiceren. Net als bij Android gebruikt DualToy ook voor iOS eerdere pairinggegevens om toegang te krijgen. De malware verzamelt van iOS-toestellen allerlei informatie, zoals imei, imsi, iccid, serienummer en telefoonnummer.
Via een enterprise certificaat, waarmee organisaties eigen apps kunnen uitrollen, wordt vervolgens een iOS-app geïnstalleerd. Deze app vraagt de gebruiker om zijn Apple ID en wachtwoord en stuurt die terug naar de aanvaller. Volgens onderzoekers heeft de malware het vooral op Chinese gebruikers voorzien. Eigenaren van een smartphone krijgen het advies om die niet via usb met onbetrouwbare apparaten verbinding te laten maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.