image

Overheidsspyware voor Android buiten Google Play ontdekt

dinsdag 4 april 2017, 07:59 door Redactie, 5 reacties

Onderzoekers van beveiligingsbedrijf Lookout hebben overheidsspyware voor Android ontdekt die buiten Google Play werd aangeboden en via social engineering op de toestellen van een klein aantal slachtoffers werd geïnstalleerd. De spyware is ontwikkeld door de NSO Group, die ook achter de Pegasus-spyware voor iOS zit die vorig jaar werd ontdekt. De iOS-spyware verspreidde zich echter via drie zerodaylekken in iOS.

In het geval van de Android-spyware maakten de aanvallers gebruik van social engineering zodat slachtoffers de kwaadaardige apps zelf op hun eigen toestel installeerden. Voorbeelden van de aanval zijn niet bekend, maar Google denkt dat gebruikers werden verleid om de kwaadaardige app te installeren. Aangezien de spyware buiten Google Play werd aangeboden moesten gebruikers de beveiliging van hun toestel eerst uitschakelen voordat ze de kwaadaardige app konden installeren, aangezien Android standaard geen apps van onbekende bronnen installeert.

De spyware in kwestie wordt Chrysaor genoemd en is door Google op minder dan 30 toestellen aangetroffen, voornamelijk in Israël, gevolgd door Georgië en Mexico. de NSO Group bevindt zich ook in Israël. Na de installatie probeerde de spyware via bekende Androidlekken zijn rechten te verhogen. In het geval het toestel niet kwetsbaar was werd geprobeerd om via een "superuser binary" de rechten te verhogen.

Eenmaal actief kan de spyware toetsaanslagen opslaan, screenshots maken, audio via de microfoon opnemen en surfgeschiedenis, adresboek, sms-berichten en e-mails stelen, alsmede data van populaire apps. De malware kan via sms worden aangestuurd en gegevens via bekende apps zoals WhatsApp, Skype, Facebook en Twitter naar de aanvallers terugsturen. Verder zal de malware zich in bepaalde gevallen automatisch verwijderen, bijvoorbeeld als het meer dan 60 dagen geen verbinding met de servers van de aanvallers heeft gemaakt.

Google Play

Volgens Google is de kans dat gebruikers met de Chrysaor-spyware in aanraking zijn gekomen bijzonder klein. Infecties waren echter eenvoudig te voorkomen geweest als gebruikers alleen apps van Google Play hadden gedownload. Net als bij andere spyware en malware blijkt keer op keer dat gebruikers apps van onbetrouwbare bronnen buiten Google Play om downloaden en zo geïnfecteerd raken. Google herhaalt daarom het advies om alleen van betrouwbare bronnen te downloaden zoals Google Play.

Verder wordt aangeraden om de schermvergrendeling in te stellen die lastig voor anderen is om te raden, zodat een aanvaller met fysieke toegang niet eenvoudig de app kan installeren. Verder wordt geadviseerd om updates meteen te installeren. Eén van de Chrysaor-versies was speciaal voor Android 4.3 Jellybean en ouder gemaakt. Ook doen gebruikers er verstandig aan om te oefenen met de Android Device Manager om toestellen te vinden. "De kans dat je je toestel verliest is namelijk veel groter dan dat je malware installeert", aldus Google.

Reacties (5)
04-04-2017, 09:53 door spatieman
nog even en er mogen geen toestellen meer verkocht worden ,ZONDER een overheidspakket in de firmware.
04-04-2017, 10:33 door Anoniem
Door spatieman: nog even en er mogen geen toestellen meer verkocht worden ,ZONDER een overheidspakket in de firmware.
Ja, dan brengen de dames en heren politici de zaak volledig om zeep!
Dan raad ik iedereen aan om zijn spy-mobieltje maar weg te gooien. Het gevolg is een ineenstorting van de mobiele markt.
04-04-2017, 10:36 door Anoniem
Door spatieman: nog even en er mogen geen toestellen meer verkocht worden ,ZONDER een overheidspakket in de firmware.

Sinds de jaren 80 worden er geen vaste en later ook mobiele telefoons verkocht die niet simpel af te luisteren zijn hoor maak je maar geen illussies.
Kijk maar naar ELK vast toestel ooit verkocht: ligt de hoorn erop is er altijd een luchtkanaal naar buiten ingebouwd, ook bij niet handsfree modellen.
rest my case
31-05-2017, 11:26 door Anoniem
Alles is toch geïnfecteerd? Als je een nieuwe PC koopt, of het nu lap top of desktop is, en of het nu Dell of HP of welk merk ook is, in de net bios zit tegenwoordig overal spy software in. Kun je ook vrijwel niet verwijderen, omdat het niets met software op harde schijf en boot te maken heeft. Veel hackers schrijven juist troep naar de bios (moederbord) en er zijn niet zoveel kenners die hier verstand van hebben. Dus even de bios flashen/schoonmaken/nieuwe installatie en ff juiste jumper(s) gebruiken enz. daar heeft een PC winkel e/o zogenaamde IT kenner vrijwel geen verstand van. Die kiezen vaak gelijk voor nieuwe installatie van besturingssoftware (of icm nieuwe harde schijf) echter staat de troep dus in de bios en ben je snel weer de klos.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.