Onderzoekers van Bitdefender hebben een omvangrijke Android-malwarecampagne blootgelegd waarbij criminelen misbruik maken van de infrastructuur van een legitiem en veelgebruikt platform om schadelijke apps te verspreiden. Door kwaadaardige bestanden niet vanaf een “verdacht” domein maar via een vertrouwde cloudomgeving aan te bieden, weten de aanvallers traditionele netwerkfilters en reputatiegebaseerde blokkades te omzeilen.
De aanval begint met social engineering. Gebruikers worden via advertenties, pop-ups of misleidende waarschuwingen geconfronteerd met meldingen dat hun toestel mogelijk besmet of onveilig is. Zij krijgen vervolgens de aanbeveling een zogenaamd beveiligingsprogramma te installeren met de naam “TrustBastion”. Deze app presenteert zich als een gratis alles-in-één beveiligingsoplossing die phishing, kwaadaardige sms-berichten en malware zou kunnen detecteren en verwijderen.
In werkelijkheid bevat deze eerste applicatie vrijwel geen beschermende functionaliteit. De app fungeert uitsluitend als zogenaamde “dropper”: een tussenstap die bedoeld is om een tweede, zwaardere lading malware binnen te halen. Direct na installatie wordt de gebruiker geconfronteerd met een dringende verplichte update. Het updatevenster is zo vormgegeven dat het sterk lijkt op officiële Android- of Google Play-updates, inclusief bekende iconen, kleuren en bewoordingen. Dit vergroot het vertrouwen en verlaagt de kans dat gebruikers argwaan krijgen.
Wanneer de gebruiker de update accepteert, maakt de app verbinding met een externe server. Opvallend genoeg levert deze server niet zelf de kwaadaardige software aan, maar geeft slechts een doorverwijzing terug naar een opslaglocatie op een bekend ontwikkel- en datahostingplatform. Vanaf daar wordt de uiteindelijke schadelijke APK gedownload via de reguliere infrastructuur en content delivery netwerken van dat platform. Omdat verkeer naar zulke populaire diensten normaal gesproken als betrouwbaar wordt gezien, wordt deze download minder snel geblokkeerd of onderzocht door beveiligingsoplossingen.
De aanvallers passen daarnaast server-side polymorfisme toe. Dat betekent dat de kwaadaardige app voortdurend automatisch opnieuw wordt gegenereerd met kleine technische variaties. Hoewel de functionaliteit identiek blijft, verandert de digitale “vingerafdruk” (hash) telkens. Hierdoor ontstaan in korte tijd duizenden unieke varianten van dezelfde malware, waardoor detectie op basis van bekende hashes of statische kenmerken vrijwel zinloos wordt.
Na installatie van de tweede fase probeert de malware zich voor te doen als een legitiem systeemonderdeel of beveiligingsdienst. De gebruiker krijgt stap voor stap instructies om Android Accessibility Services in te schakelen, zogenaamd nodig om de beschermingsfuncties te activeren. In werkelijkheid geeft deze permissie extreem vergaande toegang: de app kan scherminhoud uitlezen, gebruikershandelingen volgen, knoppen indrukken en tekst invoeren alsof het de gebruiker zelf is.
Daarbovenop vraagt de malware aanvullende rechten zoals:
- het tonen van overlays boven andere apps,
- het opnemen of casten van het scherm,
- en uitgebreide toegankelijkheids- en interactierechten.
Met deze combinatie van permissies verandert de kwaadaardige app in feite in een volwaardige remote access trojan. Aanvallers kunnen op afstand meekijken met alles wat er op het scherm gebeurt en actief ingrijpen in de bediening van het toestel. Ingevoerde gegevens, geopende apps en meldingen kunnen worden vastgelegd en doorgestuurd naar een command-and-controlserver.
Een belangrijk doel van de malware is het stelen van inloggegevens en financiële informatie. Daarvoor toont zij nep-inlogschermen die sterk lijken op die van populaire betaal- en financiële apps. Wanneer de gebruiker denkt in te loggen bij zo’n dienst, worden gebruikersnaam, wachtwoord en eventueel pincode rechtstreeks onderschept. Ook informatie van het vergrendelscherm kan worden buitgemaakt.
De verbinding met de command-and-controlinfrastructuur blijft continu actief. Via dit kanaal kunnen de aanvallers nieuwe opdrachten sturen, extra modules laden en aanvullende content downloaden om de app een overtuigend en legitiem uiterlijk te blijven geven. Dezelfde infrastructuur wordt gebruikt om buitgemaakte gegevens in kleine porties weg te sluizen zodat dit minder snel opvalt.
Nadat een eerste kwaadaardige opslaglocatie werd verwijderd, doken vrijwel identieke varianten van de campagne weer op onder een andere naam en met aangepaste iconen. De onderliggende code en werkwijze bleven grotendeels hetzelfde. Dit laat zien dat de daders flexibel inspelen op tegenmaatregelen en snel nieuwe distributiepunten opzetten wanneer oude worden afgesloten.
Deze campagne onderstreept twee belangrijke ontwikkelingen. Ten eerste maken aanvallers steeds vaker misbruik van legitieme, populaire cloud- en ontwikkelplatformen als distributiekanaal, omdat verkeer daarheen standaard wordt vertrouwd. Ten tweede blijkt dat klassieke detectiemethoden op basis van bestandskenmerken onvoldoende zijn tegen continu veranderende malware. Gedragsanalyse, waarbij wordt gekeken naar wat een app daadwerkelijk doet op een toestel (zoals het misbruiken van toegankelijkheidsrechten en het tonen van valse overlays), wordt daardoor steeds belangrijker om dit soort dreigingen tijdig te herkennen en te stoppen.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack