AbstractEmu Trojan sluipt Google Play binnen en start Android-apparaten


Grote app stores zoals Google Play willen juist verschillende beveiligingsmaatregelen gebruiken om het binnenkomen van apps met kwaadaardige code te voorkomen. Maar dat werkt natuurlijk niet altijd even betrouwbaar. Lookout-beveiligingsonderzoekers zijn gevaarlijke Trojaanse apps tegengekomen in officiële app-winkels die Android-apparaten kunnen rooten. Als dit werkt, hebben aanvallers meestal volledige controle over apparaten.

De beveiligingsonderzoekers leggen het uit in één artikeldat ze 19 getrojaniseerde apps tegenkwamen in Amazon’s App Store, Google Play en Samsung’s Galaxy Store. Zeven van hen zouden rootfuncties hebben. De apps moeten zich voordoen als hulpprogramma’s zoals app-opstartprogramma en wachtwoordbeheerder. De onderzoekers stellen dat Google de betreffende apps inmiddels heeft verwijderd. De status van de andere app stores is op dit moment nog niet bekend.

Onder andere de app “Lite Launcher” van Google Play zou moeten werken zoals beloofd. Kwaadaardige functies worden echter op de achtergrond uitgevoerd. Voordat ze uit de App Store werd gegooid, zou ze 10.000 downloads hebben gehad.

Root-gebruikers hebben toegang tot alle elementen van het Android-besturingssysteem. In dit geval kunnen bijvoorbeeld apps met kwade bedoelingen alle instellingen ombuigen en machtigingen activeren. De AbstractEmu-trojan moet dan toegang hebben tot de microfoon en de camera en schermafbeeldingen kunnen maken.

Aanvallers zouden deze laatste kunnen gebruiken om toegang te krijgen tot wachtwoorden. Daarnaast moet het sms-berichten met codes van tweefactorauthenticatie (2FA) kunnen onderscheppen. Hiermee kunnen aanvallers bijvoorbeeld toegang krijgen tot accounts die daadwerkelijk met 2FA zijn beveiligd.

Wat de criminelen precies willen bereiken met de Trojaanse apps is op dit moment onduidelijk. De beveiligingsonderzoekers gaan ervan uit dat het vooral om geld gaat. De campagne zal actief zijn in 17 landen over de hele wereld.

Volgens de onderzoekers pakken de apps verschillende beveiligingsproblemen aan om Android-apparaten te rooten. Waaronder enkele oudere kwetsbaarheden uit 2015. Ze brengen echter ook exploitcode voor recentere kwetsbaarheden (CVE-2020-0041, CVE-2020-0069). Beide hiaten zijn met het dreigingsniveau “hoogIn beide gevallen treden geheugenfouten op na uitvoering en kunnen aanvallers dus hogere gebruikersrechten verkrijgen en vanuit deze positie het rootingproces kunnen starten op een manier die niet in detail wordt beschreven.

Als dat werkt, kunnen de aanvallers in principe alles met het apparaat doen. Het perfide eraan is dat veel kwaadaardige functies van slachtoffers onopgemerkt op de achtergrond kunnen draaien. Om dergelijke aanvallen te voorkomen, moet u Android-apparaten altijd up-to-date houden en beveiligingsupdates installeren. Maar dat is nog steeds een groot probleem, omdat zelfs veel apparaten die niet te oud zijn helemaal geen updates krijgen. Als je ook niet kunt vertrouwen op de beveiligingscontroles van de grote app-winkels, ben je behoorlijk hulpeloos.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: