Windows-malwaretechnieken verspreiden zich naar Android

Omdat het gebruik ervan zo wijdverspreid is, is Windows een zeer populair doelwit voor malwareschrijvers. Ze verfijnen en stemmen aanvalstechnieken af ​​en werken hard om nieuwe soorten aanvallen te innoveren. Door de groeiende populariteit van Android is het een vergelijkbaar doelwit. Het nieuwste Mobile Threat Report van de Finse beveiligingsgigant F-Secure vermeldt een aantal wijzigingen in het Android-dreigingslandschap die voortvloeien uit de introductie van technieken die al bekend zijn in Windows.

Geruime tijd waren trojan-apps vrijwel het enige soort malware op Android. Het is belachelijk eenvoudig om een ​​app te decompileren, de machtigingen aan te passen, een kwaadaardige module in te voegen en een nieuwe versie van de app te maken die alles doet wat de oude deed plus iets nieuws en smerigs, zoals het verzenden van teksten naar premiumnummers. Ja, de officiële Android app-winkels doen hun best om deze Trojaanse paarden te detecteren en af ​​te wijzen, maar er zijn tal van niet-officiële app-downloadsites. In sommige landen zijn dat de enige plaatsen om apps te krijgen. Hoewel trojan-apps nog steeds domineren, zien de onderzoekers van F-Secure nu meer en verschillende soorten in het wild levende Android-malware.

Winst motief

Het rapport stelt dat meer dan 75 procent van de huidige Android-bedreigingen bestaat om geld te verdienen voor hun makers. Ik vroeg Sean Sullivan, beveiligingsadviseur bij F-Secure Labs, wat de rest motiveert. "Spionage, tracking, info-stealers en dergelijke", reageerde Sullivan. "Ook het verzamelen van contactgegevens voor sms-spamdoeleinden (groot in China)." In dat geval, zo legde hij uit, zouden de contactgegevens worden verkocht, maar de malwareschrijver 'profiteert er niet direct' van.

Een relatief nieuwe Android Trojan genaamd Stels vertrouwt op spam e-mails voor distributie. Het sluit aan bij het Cutwail-botnet, een enorme bron van spam wereldwijd. Het stelt zich voor als een e-mail van de IRS en biedt een kwaadaardige link die Android-gebruikers omleidt naar een pagina die meldt dat Flash Player moet worden bijgewerkt. Het installeren van de vermeende update geeft de Trojan eigenlijk toestemming om te bellen; terwijl je slaapt verdient het geld voor de maker door premium nummers te bellen.

Het rapport verwijst naar dit Trojaanse telefoongesprek met "lange gesprekken (ook wel" short-stop "genoemd). Geen van deze zinnen luidde voor mij. Sullivan legde uit dat met name in ontwikkelingslanden sommige factureringsdiensten VOIP gebruiken voor het kortere binnenlandse gedeelte van een oproep en traditionele telefonie voor de "lange" oproep. "Dit anders legitieme type factureringsservice kan worden misbruikt door malware, " zei Sullivan. "Het is nogal moeilijk om te weten wie een lang omlijnd nummer is bij het bekijken van een factuur."

Zitmo te koop

Bank-Trojaanse paarden zoals Zeus stelen uw online bankgegevens of meeliften op uw online bank-sessies om hun eigen transacties te maken. Toen banken tweefactorauthenticatie met behulp van mobiele apparaten toevoegden, vonden de slechteriken Zeus-in-the-mobile uit. Deze techniek wordt Zitmo genoemd, en laat de Trojan tweefactorauthenticatie ondermijnen. Volgens het rapport is het gebruik van Zitmo niet langer beperkt tot "high-end Zeus-operatoren", aangezien een nieuw onderdeel met de naam Perkele nu beschikbaar is op de "crimeware-markt".

Het rapport merkt op dat "Nu iedereen die een Zeus-botnet beheert, betaalbare opties voor Zitmo kan vinden." Onderzoekers hebben deze Trojaanse targetingbanken in Italië, Thailand en Australië gevonden, waarbij elke instantie is aangepast om te lijken op de branding van de doelbank.

Wat is het volgende?

Het rapport wijst op verschillende andere malware-tactieken die nu worden weergegeven in de Android-arena. Gerichte aanvallen zijn gebruikt tegen Tibetaanse activisten. Een dreiging die F-Secure belt SmSilence steelt persoonlijke informatie specifiek van telefoons met een Zuid-Koreaans netnummer. Door nep-oplichtingsaanbiedingen worden slachtoffers gesolliciteerd, worden proceskosten in rekening gebracht en worden vervolgens niets bezorgd.

Denkend aan de voortdurende "feature creep" van malwaretechnieken van Windows tot Android, vroeg ik Sullivan wat hij verwacht te zien. "Ik ben al enigszins verrast, " zei hij, "dat we nog geen data / foto-scraping-apps voor tieners (meisjes) hebben gezien die vervolgens worden gebruikt in een poging om meer materiaal van het slachtoffer te chanteren / afpersen." Praten over feature creeps!

Natuurlijk gaat het volledige rapport veel gedetailleerder in. U kunt het bekijken op de F-Secure Labs-website.