Nieuwe Android-malware kan de beveiliging van vrijwel alle grote telefoonmerken omzeilen

Ik ruik een RAT — nieuwe Android-malware kan de beveiliging van vrijwel alle grote telefoonmerken omzeilen, en kost minder dan een tweedehands iPhone.

De Android-functie Accessibility Service (Toegankelijkheidsservice) is oorspronkelijk ontworpen om mensen met een beperking te ondersteunen, bijvoorbeeld door scherminhoud voor te lezen of handelingen te automatiseren. Diezelfde krachtige mogelijkheden worden echter steeds vaker misbruikt door cybercriminelen.

Beveiligingsonderzoekers hebben onlangs een nieuwe Android Remote Access Trojan (RAT) geanalyseerd met de naam Oblivion. Deze malware zou gericht zijn op toestellen van grote fabrikanten zoals Samsung, Xiaomi en Oppo, en werkt naar verluidt op Android-versies 8 tot en met 16. Dat betekent dat een groot deel van de actieve Android-apparaten potentieel kwetsbaar is, afhankelijk van gebruikersgedrag en beveiligingsinstellingen.

Wat is Oblivion precies?

Oblivion wordt aangeboden als een commerciële “malware-as-a-service”. In plaats van een eenmalige aankoopmodel werken de makers met een abonnementsstructuur die begint rond de 300 dollar. Dat verlaagt de instapdrempel voor criminelen: ook personen zonder diepgaande technische kennis kunnen zo geavanceerde spyware inzetten.

Het pakket bevat onder andere:

• Een builder-tool waarmee kopers zelf een kwaadaardige app kunnen samenstellen, inclusief zelfgekozen naam, pictogram en vermomming.
• Een dropper-component die zich voordoet als een legitieme update of systeemmelding om slachtoffers te misleiden.
• Automatiseringsscripts om toestemmingen te activeren zonder dat de gebruiker volledig begrijpt wat er gebeurt.

Infectiemethode: sociale manipulatie boven technische exploits

Opvallend is dat Oblivion niet primair afhankelijk is van complexe technische kwetsbaarheden in Android zelf. In plaats daarvan steunt het sterk op social engineering. Slachtoffers worden ertoe aangezet om:

• Apps buiten de officiële Play Store te installeren (sideloading).
• Te reageren op ogenschijnlijk legitieme update-meldingen.
• Onnodig uitgebreide toegankelijkheidsrechten toe te kennen.

Hoewel Android normaal gesproken expliciete toestemming vraagt voor gevoelige rechten, zou Oblivion deze stappen grotendeels kunnen automatiseren via misbruik van de Accessibility Service. Zodra die service actief is, kan een app vrijwel alle handelingen op het scherm observeren en nabootsen.

Wat kan de malware doen?

Na succesvolle installatie krijgt Oblivion zeer uitgebreide controle over het apparaat. Volgens analyses kan de malware onder meer:

• SMS-berichten lezen en onderscheppen.
• Tweefactorauthenticatiecodes (2FA) buitmaken.
• Pushmeldingen monitoren.
• Toetsaanslagen in realtime registreren (keylogging).
• Apps op afstand openen, installeren of verwijderen.
• Het toestel ontgrendelen met buitgemaakte inloggegevens.
• Verborgen externe sessies starten waarbij de aanvaller het toestel bestuurt terwijl de gebruiker slechts een ogenschijnlijk normale systeemoverlay ziet.

Daarnaast zijn er anti-verwijderingsmechanismen ingebouwd. Pogingen om de app te verwijderen of machtigingen in te trekken kunnen worden geblokkeerd. Het pictogram kan worden verborgen, waardoor de malware vrijwel onzichtbaar blijft in het app-overzicht.

Waarom is dit zorgwekkend?

Google heeft in de afgelopen jaren de beperkingen rondom Accessibility-toegang aangescherpt. Toch tonen dergelijke campagnes aan dat platformbeveiliging altijd mede afhankelijk blijft van gebruikersgedrag. Wanneer iemand zelf uitgebreide rechten toekent aan een malafide app, kan zelfs een goed beveiligd systeem worden ondermijnd.

Het feit dat Oblivion wordt aangeboden via een abonnementsmodel betekent dat de technologie niet beperkt blijft tot hoogopgeleide hackers. De commerciële beschikbaarheid vergroot het risico op grootschalig misbruik.

Wie loopt het meeste risico?

Gebruikers lopen vooral gevaar wanneer zij:

• Apps installeren buiten officiële appwinkels.
• Onverwachte update-meldingen vertrouwen.
• Toegankelijkheidsrechten verlenen zonder duidelijke noodzaak.
• Geen controle uitvoeren op toegekende app-machtigingen.

Hoe kun je jezelf beschermen?

Hoewel geen enkele maatregel volledige garantie biedt, verkleinen de volgende stappen het risico aanzienlijk:

• Installeer uitsluitend apps via de officiële Play Store.
• Schakel installatie uit onbekende bronnen uit.
• Wees terughoudend met het toekennen van Accessibility-toegang.
• Controleer regelmatig app-machtigingen in de instellingen.
• Gebruik een betrouwbare mobiele beveiligingsoplossing.
• Houd Android en apps altijd up-to-date.

Activeer waar mogelijk hardware-gebaseerde beveiligingsopties.

Door: Drifter