Feiten en fictie rond mobiele malware

© CIDimport

Feiten en fictie rond mobiele malware

Geplaatst: 22 augustus 2011 - 09:21

Aangepast: 16 november 2022 - 09:24

Redactie ID.nl

Waarom wordt de waarschuwing dat malware zich richting mobiele platforms verplaatst niet opgepikt? Er heerst onterecht een gevoel van veiligheid rond mobiel gebruik.

We weten allemaal dat online activiteiten een beveiligingsrisico met zich meedragen. We hebben geleerd om e-mails van Nigeriaanse bankiers, die ons miljoenen beloven om een erfenis af te handelen, niet te vertrouwen. Onze banken hoeven niet iedere dag onze bankgegevens te verifiëren via e-mail. Berichten van DHL waarin in de bijlage informatie zou staan over producten die we niet verwachten open we uit voorzorg niet langer. We klikken ook niet langer op links in mails waarin ons gevraagd wordt websites te bezoeken om prijzen te winnen. Waarom werken die methoden niet meer? Omdat we door schade en schande wijs geworden zijn.

Toen deze scams begonnen, waren er nog mensen die in de leugens trapten. Misschien herinner je je nog de chaos in 2000, toen miljoenen mensen een mail openden met daarin de besmettelijke I Love You-worm. In een dag tijd veroorzaakte het virus voor 5,5 miljard dollar aan schade. Het was een grote openbaring voor security en zorgde ervoor dat organisaties waarschuwingen aan hun medewerkers begonnen te richten om te voorkomen dat zij in de toekomst slachtoffer van zo'n worm zouden worden.

Waarom wordt de waarschuwing dat malware zich richting mobiele platforms verplaatst niet opgepikt? Er heerst een vals gevoel van veiligheid rond mobiel gebruik, vooral omdat het aantal slachtoffers nog laag ligt. Toch wil ik je uit de droom helpen.

Mythe 1: Mobiele besturingssystemen draaien in een sandbox - dus we zijn veilig

Iedereen die dit gelooft, gelooft ook in kabouters en elfjes. We hebben namelijk al malware gezien die sandboxing aanvalt - Droid Dream is een voorbeeld dat de media haalde. Het misbruikte een kwetsbaarheid in het Android besturingssysteem en verkreeg root-privileges. Hierop werden aanvullende stukjes software gedownload en geïnstalleerd, waarmee de telefoon volledig in handen van de aanvaller kwam.

Mythe 2: Mobiele applicaties worden gecontroleerd - Apple en Google houden een oogje in het zeil

Iedereen de deze mythe gelooft, is naïef. Droid Dream werd gevonden in applicaties die via de Android Market werden verkocht. Dit bewijst dat een systeem van een applicatiewinkel zeker niet waterdicht genoemd mag worden!

De reden voor de onveiligheid van de applicatiewinkels is dat partijen als Google zoveel mogelijk apps in de Market willen hebben, ontwikkelaars aanmoedigt om zoveel mogelijk apps te schrijven en hen slechts 25 dollar vraagt om zich te registeren. Het mag niet als verrassing komen dat veel malwareschrijvers en spammers hier graag een graantje van meepikken. Ontwikkelaars met kwade intenties kunnen eenvoudig hun besmette applicaties uploaden - dat deden ze dan ook met Droid Dream. Hoewel Google snel in actie kwam en het gat rap patchte, kun je er vanuit gaan dat ontwikkelaars ingangen blijven proberen te vinden waarmee voorkomen wordt dat Google deze malware applicaties snel van toestellen kan verwijderen.

Mythe 3: Mobiele malware levert weinig geld op, dus fraudeurs zijn niet geïnteresseerd

Word wakker mensen! We zitten al met de derde generatie financiële malware opgescheept.

- De eerste (zero) generatie belde onbedoeld naar betaalnummers en stuurde sms-jes naar diensten die geld in rekening brachten voor dit privilege.

- De eerste echte generatie malware maakte gebruik van simpele trucs om bijvoorbeeld een hostfile aan te passen zodat een geïnfecteerd mobiel apparaat naar een phishing website gestuurd werd.

- De tweede generatie mobiele malware werkte samen met malware op de desktop. Hierdoor konden verificatiecodes die via sms verzonden werden, bijvoorbeeld om je bij een bank te verifiëren, onderschept worden. Via sms-commando's die aanvallers naar telefoontjes konden sturen, kon ook de geïnstalleerde malware beheerd worden.

- De huidige generatie malware richt zich op mobiele browsers en applicaties en kan soms worden geïnstalleerd zonder dat daar enige hulp van de gebruiker voor nodig is. Hoewel dit op het moment nog als mythe bestempeld kan worden, verwacht ik dat het niet lang zal duren voordat fraudeurs volledig uitgerust zijn om mobile malware tot het grootste securityprobleem te maken dat we ooit gezien hebben.

Banken adverteren op dit moment al met apps die via sms en applicatiewinkels overal en altijd te downloaden zijn. Zodra ook de transacties mobiel gaan verlopen, kiezen ook kwaadwillenden die weg.

Demp de put voordat het kalf verdrinkt

Ik zei aan het begin van het artikel dat mensen de waarschuwing dat mobiele malware een vlucht gaat nemen niet in de wind moeten slaan. Het is niet alleen bewezen dat het kan, maar het gebeurt in de praktijk al. Daarom is het van fundamenteel belang dat we smartphones en tablets op dezelfde manier gaan beschermen als pc's.

Droid Dream was te voorkomen. Google had het eerder als malware kunnen classificeren en daarmee kunnen voorkomen dat het gedownload werd, ondanks dat het gebruikmaakte van een exploit die eerder ontdekt en gepatcht had kunnen worden. Het probleem voor een aanzienlijk gedeelte van de Android-gebruikers blijft dat ze nog blootstaan aan de gevaren omdat hun smartphone de benodigde update nog niet heeft gehad. We updaten constant onze pc's en het wordt tijd dat we hetzelfde bij onze smartphones doen.

Misschien is het op dit moment nog relatief rustig, maar ik verwacht grote veranderingen. In een jaar tijd zullen meer gebruikers mobiel bankieren en zetten online fraudeurs zwaar geschut in. Zeg dan niet dat ik je niet gewaarschuwd heb.


Amit Klein is CTO bij Trusteer, een bedrijf in beveiligingsdiensten voor het web. Trusteer-technologie wordt onder meer gebruikt door HSBC, Santander, The Royal Bank of Scotland, ING Direct en BMO Financial Group.

Deel dit artikel
Voeg toe aan favorieten