Android Malware misbruikt App-machtigingen om telefoons te kapen

Pas op voor Android-gebruikers: hackers maken gebruik van een fout in het besturingssysteem waardoor u de toegang tot uw telefoon kunt opgeven.

Maandag hebben veiligheidsonderzoekers in Noorwegen "Strandhogg" onthuld, een kwetsbaarheid die misbruik kan maken van de toestemmingspop-upvensters op Android.

Ironisch genoeg zijn de toestemmingspop-ups bedoeld als een veiligheidsfunctie; als een app toegang wil tot de sms-berichten, camera of contacten van je telefoon, moet deze eerst je goedkeuring krijgen.

De functie is een handig hulpmiddel om te voorkomen dat apps automatisch toegang krijgen tot gevoelige gegevens of functies op uw telefoon.

Helaas heeft dezelfde beveiliging een fout.

Beveiligingsbedrijf Promon heeft hackers ontdekt die kwaadaardige software gebruiken om valse pop-ups over toestemming te bedekken zodra een gebruiker op een legitieme Android-app tikt.

Gebruikers die de pop-ups zien en doorklikken, kunnen aannemen: "Oh, ik geef Instagram of Twitter toegang tot de opslag van mijn telefoon.

Tuurlijk, dat is prima." Maar in werkelijkheid openen ze de deur voor de eigen kwaadaardige app van de hacker om er meteen in te duiken.

"Een aanvaller kan om toegang vragen tot elke toestemming, inclusief sms, foto's, microfoon en gps, zodat ze berichten kunnen lezen, foto's kunnen bekijken, afluisteren en de bewegingen van het slachtoffer kunnen volgen", aldus Promon in zijn rapport.

"De aanval kan worden ontworpen om toestemming te vragen, wat normaal zou zijn voor verschillende gerichte apps om te vragen, waardoor de verdenking van de slachtoffers afneemt."

Dezelfde fout kan de toestemmingspop-up voor elke Android-app kapen.

Bovendien kan het ook vergelijkbare inlogvensters over een app voor sociale media of bankieren heen leggen om u te misleiden tot het overhandigen van uw wachtwoorden.

De kwetsbaarheid bestaat dankzij het multitasking-systeem in Android genaamd "taskAffinity", waardoor een kwaadwillende app onbedoeld de identiteit van een andere app aan boord van het besturingssysteem kan aannemen, zei Promon.

Het beveiligingsbedrijf ontdekte de dreiging nadat klanten van verschillende banken in Tsjechië meldden dat hun geld op mysterieuze wijze van hun rekeningen was verdwenen.

Een bedrijfspartner bezorgde Promon vervolgens een live sample van de Android-malware die misbruik maakte van de fout.

Om de aanval af te weren, hebben de hackers in het geheim ‘dropper-apps’ en ‘vijandige downloaders’ in de Google Play Store gebruikt.

Deze apps kunnen in het begin onschadelijk zijn, maar zullen op een later tijdstip in het geheim de op Strandhogg gebaseerde malware downloaden naar de telefoon van het slachtoffer.

Als reactie op de dreiging zei Google dat het de schadelijke apps uit de Play Store heeft verwijderd.

De bedrijven ingebouwde malwarebeschermingssoftware voor Android, Google Play Protect, is ook bijgewerkt om te voorkomen dat apps de Strandhogg-aanval gebruiken.

"Bovendien gaan we door met het onderzoeken om het vermogen van Google Play Protect om gebruikers tegen soortgelijke problemen te beschermen, te verbeteren", voegde een woordvoerder van het bedrijf eraan toe.

Desalniettemin beweert Promon dat Google het Android-besturingssysteem zelf niet heeft gepatcht tegen de Strandhogg-aanval.

Volgens de onderzoekspartner van Promon, Lookout, zijn in totaal 36 kwaadaardige apps gevonden, waarvan sommige afkomstig zijn uit 2017.

Vreemd genoeg heeft geen van de betrokken bedrijven genoemd welke apps zijn getroffen, waardoor het onduidelijk is hoe groot de dreiging is.

Dus hoe kun je jezelf beschermen? De aanval is afkomstig van kwaadaardige apps.

Het is dus het beste om app-stores van derden buiten Google Play te vermijden en geen apps van onbekende ontwikkelaars te downloaden.

Promon raadt gebruikers ook aan om op hun hoede te zijn voor apps die om toestemming vragen die ze niet nodig hebben.

Bijvoorbeeld een rekenmachine-app die om gps-toestemming vraagt.

Als u vermoedt dat er iets louche gebeurt, verwijdert u de app onmiddellijk.

Pas op voor Android-gebruikers: hackers maken gebruik van een fout in het besturingssysteem waardoor u de toegang tot uw telefoon kunt opgeven.

Maandag hebben veiligheidsonderzoekers in Noorwegen "Strandhogg" onthuld, een kwetsbaarheid die misbruik kan maken van de toestemmingspop-upvensters op Android.

Ironisch genoeg zijn de toestemmingspop-ups bedoeld als een veiligheidsfunctie; als een app toegang wil tot de sms-berichten, camera of contacten van je telefoon, moet deze eerst je goedkeuring krijgen.

De functie is een handig hulpmiddel om te voorkomen dat apps automatisch toegang krijgen tot gevoelige gegevens of functies op uw telefoon.

Helaas heeft dezelfde beveiliging een fout.

Beveiligingsbedrijf Promon heeft hackers ontdekt die kwaadaardige software gebruiken om valse pop-ups over toestemming te bedekken zodra een gebruiker op een legitieme Android-app tikt.

Gebruikers die de pop-ups zien en doorklikken, kunnen aannemen: "Oh, ik geef Instagram of Twitter toegang tot de opslag van mijn telefoon.

Tuurlijk, dat is prima." Maar in werkelijkheid openen ze de deur voor de eigen kwaadaardige app van de hacker om er meteen in te duiken.

"Een aanvaller kan om toegang vragen tot elke toestemming, inclusief sms, foto's, microfoon en gps, zodat ze berichten kunnen lezen, foto's kunnen bekijken, afluisteren en de bewegingen van het slachtoffer kunnen volgen", aldus Promon in zijn rapport.

"De aanval kan worden ontworpen om toestemming te vragen, wat normaal zou zijn voor verschillende gerichte apps om te vragen, waardoor de verdenking van de slachtoffers afneemt."

Dezelfde fout kan de toestemmingspop-up voor elke Android-app kapen.

Bovendien kan het ook vergelijkbare inlogvensters over een app voor sociale media of bankieren heen leggen om u te misleiden tot het overhandigen van uw wachtwoorden.

De kwetsbaarheid bestaat dankzij het multitasking-systeem in Android genaamd "taskAffinity", waardoor een kwaadwillende app onbedoeld de identiteit van een andere app aan boord van het besturingssysteem kan aannemen, zei Promon.

Het beveiligingsbedrijf ontdekte de dreiging nadat klanten van verschillende banken in Tsjechië meldden dat hun geld op mysterieuze wijze van hun rekeningen was verdwenen.

Een bedrijfspartner bezorgde Promon vervolgens een live sample van de Android-malware die misbruik maakte van de fout.

Om de aanval af te weren, hebben de hackers in het geheim ‘dropper-apps’ en ‘vijandige downloaders’ in de Google Play Store gebruikt.

Deze apps kunnen in het begin onschadelijk zijn, maar zullen op een later tijdstip in het geheim de op Strandhogg gebaseerde malware downloaden naar de telefoon van het slachtoffer.

Als reactie op de dreiging zei Google dat het de schadelijke apps uit de Play Store heeft verwijderd.

De bedrijven ingebouwde malwarebeschermingssoftware voor Android, Google Play Protect, is ook bijgewerkt om te voorkomen dat apps de Strandhogg-aanval gebruiken.

"Bovendien gaan we door met het onderzoeken om het vermogen van Google Play Protect om gebruikers tegen soortgelijke problemen te beschermen, te verbeteren", voegde een woordvoerder van het bedrijf eraan toe.

Desalniettemin beweert Promon dat Google het Android-besturingssysteem zelf niet heeft gepatcht tegen de Strandhogg-aanval.

Volgens de onderzoekspartner van Promon, Lookout, zijn in totaal 36 kwaadaardige apps gevonden, waarvan sommige afkomstig zijn uit 2017.

Vreemd genoeg heeft geen van de betrokken bedrijven genoemd welke apps zijn getroffen, waardoor het onduidelijk is hoe groot de dreiging is.

Dus hoe kun je jezelf beschermen? De aanval is afkomstig van kwaadaardige apps.

Het is dus het beste om app-stores van derden buiten Google Play te vermijden en geen apps van onbekende ontwikkelaars te downloaden.

Promon raadt gebruikers ook aan om op hun hoede te zijn voor apps die om toestemming vragen die ze niet nodig hebben.

Bijvoorbeeld een rekenmachine-app die om gps-toestemming vraagt.

Als u vermoedt dat er iets louche gebeurt, verwijdert u de app onmiddellijk.