Fabelmobieltjes en waar ze te vinden — deel 4

maart 1, 2019

In deel vier van ons onderzoek naar mobiele dreigingen, hebben we het over de meest complexe en gevaarlijke typen malware, die niet alleen Android-functies uitbuiten, maar die ook in staat zijn jouw systeem te manipuleren om zo verschillende kwaadaardige functies te kunnen combineren.

 RAT’s — Remote-Access-Trojans

RAT’s (Remote Administration Tools), de naam zegt al genoeg. Ze kunnen op afstand verbinden met een apparaat op het netwerk en niet alleen het scherm zien, maar het apparaat volledig besturen met commando’s vanaf een ander apparaat (met een keyboard, muis op een computer, touch screen op een smartphone).

RAT’s zijn ontworpen met goede bedoelingen, namelijk om verschillende instellingen en apps te managen, en dan op afstand. Het is tenslotte veel makkelijker voor IT-werknemers om zelf op afstand het probleem op te kunnen lossen, dan iemand over de telefoon uit te moeten leggen waar die op moet klikken. Ook voor de gebruiker is dit makkelijker.

Maar in de handen van cybercriminelen zijn RAT’s omgetoverd tot een geweldig wapen: het installeren van een trojan op je smartphone waarmee je iemand op afstand toegang geeft tot jouw apparaat staat gelijk aan het geven van je huissleutels aan een vreemde. Misbruik van RAT’s is zo normaal geworden dat het steeds vaker Remote-Access-Trojan wordt genoemd.

Eenmaal toegang tot jouw apparaat via een RAT, kunnen hackers hun gang gaan, zoals het stelen van jouw wachtwoorden en pincodes, inloggen op jouw bankapps en geld overmaken, en abonnementen afsluiten op services die stiekem jouw tegoed op je mobiel of creditcard opmaken. Maar ook jouw e-mail, sociale media en IM-accounts zijn niet veilig en kunnen gebruikt worden om geld van jouw vrienden onder jouw naam te verkrijgen. En dit allemaal nadat jouw foto’s gekopieerd zijn om jou later te kunnen chanteren, mochten er pikante foto’s tussen zitten.

Normaalgesproken worden RAT’s gebruikt om te spioneren. Zulke malware staat een jaloerse man of vrouw toe om hun partners te bespioneren, of nog erger, het kan gebruikt worden om ondernemingsgeheimen te stelen. AndroRAT (vorige lente ontdekt) maakt bijvoorbeeld stiekem foto’s met de smartphonecamera en neemt geluid op (inclusief telefoongesprekken). Het steelt ook wachtwoorden van draadloze netwerken met behulp van geolocalisering. Dit betekent dat zakendoen niet meer vertrouwelijk is en dat toegang verkrijgen tot een ondernemingsnetwerk een fluitje van een cent is.

Rooting Trojans

“Root access” is in sommige besturingssystemen, inclusief Android, hetzelfde als supergebruikersrechten, en hiermee kunnen allerlei aanpassingen aan systeemmappen en bestanden gemaakt worden. Voor algemene gebruikerstaken is deze toegang volstrekt onnodig en dus standaard uitgeschakeld. Maar sommige geavanceerde gebruikers willen graag hun systeem aanpassen. Zie onze post Rooting your Android: Advantages, disadvantages, and snags om erachter te komen waarom je goed na moet denken voordat je dit inschakelt.

Zogenaamde rooting trojans zijn kwaadaardige programma’s die root-privileges kunnen verkrijgen door middel van kwetsbaarheden in het besturingssysteem. Met supergebruikersrechten kunnen cybercriminelen jouw smartphone naar wens instellen. Zo kunnen ze het apparaat dwingen om full-screen advertenties te openen, of op de achtergrond malware en adware installeren, zonder melding.

Het favoriete trucje van malware is het stiekem verwijderen van geïnstalleerde apps op de smartphone en deze te vervangen door met phishing of malware besmette software. Daarnaast kunnen supergebruikersrechten gebruikt worden om te voorkomen dat je de malware van je apparaat verwijdert. Geen wonder dat rooting trojans vandaag de dag worden beschouwd als de meest gevaarlijke mobiele dreiging.

Modulaire Trojans

De modulaire trojans zijn duizendpoten die verschillende kwaadaardige handelingen kunnen uitvoeren, danwel tegelijkertijd of op selectieve wijze. Een van de meest verontrustende voorbeelden van zo’n trojan is Loapi, eind 2017 ontdekt. Zodra het een apparaat binnendringt, verzekert het zijn eigen veiligheid door administratorrechten aan te vragen. En het zal geen genoegen nemen met een afwijzing, en het venstertje blijft maar verschijnen, waardoor gebruik van de smartphone onmogelijk wordt gemaakt. Zodra er wordt ingestemd met het verzoek, is het onmogelijk om Loapi te verwijderen van het apparaat.

De trojan lanceert in dat geval een van de vijf modules. Het kan advertenties vertonen, abonnementen afsluiten voor betaalde services door op links te klikken, een DDoS-aanval uitvoeren op vanaf een server op afstand, en sms-berichten doorsturen naar cybercriminelen, en dit verbergen zodat gebruikers geen zicht hebben op kwaadaardige transacties.

En in zijn vrije tijd, wanneer het niet bezig is met deze belangrijke taken, houdt de trojan zich bezig met het stelen van cryptovaluta, meestal wanneer de smartphone aan de oplader of een externe batterij zit. Mining is een complex bewerkingsproces dat veel batterij kost. Dit kan fatale consequenties hebben voor telefoons: onze deskundigen hebben ontdekt dat een aantal dagen van Loapi-activiteit genoeg is om een telefoon oververhit te laten raken, wat kan leiden tot stukgaan.

Hoe te beschermen tegen de gevaarlijkste Android-malware

Zoals je kunt zien brengt RAT serieuze gevaren met zich mee, maar het is mogelijk om je ertegen te beschermen. Hier volgen enkele simpele regels:

  • Allereest is het belangrijk om de installatie van app van onbekende bronnen uit te schakelen. Deze optie is standaard uitgeschakeld in Android, en dit zou zo moeten blijven. Het is geen wondermiddel, maar het zou de meeste problemen met mobiele tojans moeten voorkomen.
  • Download geen illegale versies van apps. Deze apps kunnen besmet zijn.
  • Klik niet op links die goud beloven. WhatsApp-aanbiedingen met gratis vliegtickets zijn vaak juist een poging om jouw persoonlijke data te stelen en ze downloaden malware op jouw smartphone. Hetzelfde geldt voor phishing, inclusief berichten van vrienden of vreemden met het bericht: ‘Is dit jouw foto?’ of soortgelijke berichten.
  • Installeer altijd updates voor Android en apps op jouw apparaat. Deze updates patchen het besturingssysteem op kwetsbaarheden waar criminelen misbruik van kunnen maken.
  • Controleer de rechten die je verleent aan apps en wees niet bang om bepaalde rechten te ontzeggen, zoals de toegang tot persoonlijke informatie en mogelijk gevaarlijke functies in Android. In de meeste gevallen gebeurt er niets ergs als dergelijk verzoek wordt afgewezen.
  • Installeer een goed antivirus op je smartphone, zoals Kaspersky Internet Security voor Android. Behalve het opsporen en verwijderen van Trojans, blokkeert het ook websites met malware en mobiele abonnementen.