Geavanceerde trojan gebruikt nieuw gat in Android

Door: | 07 juni 2013 15:06

Apps & Software

Een nog niet eerder opgemerkte kwetsbaarheid in de Device Manager van Android zorgt ervoor dat een geniepige trojan zich meer machtigingen kan verschaffen dan de gebruiker aan de app geeft.

Kaspersky heeft een multifunctionele Android-trojan ontdekt die een nieuwe kwetsbaarheid in het OS misbruikt om zich meer machtigingen toe te eigenen. Ook legt de applicatie contact met een command-and-controlserver (C&C) om nieuwe modules te downloaden en verspreidt de malware zich verder via Bluetooth- en WiFi-verbindingen.

Malware pikt adminrechten

Het antivirusbedrijf heeft Google geïnformeerd over het gat in de Device Administrator waar de trojan gebruik van maakt om meer rechten te krijgen dan zou moeten. Kaspsersky noemt de app “de geavanceerdste Android-trojan” tot nu toe. Omdat de malware zich adminrechten verschaft, zonder dat het op de lijst applicaties die dit hebben verschijnt, is de trojan niet zomaar te verwijderen.

Het onderzoek vemeldt niet waar de applicatie precies is opgedoken en hoe het zich voordoet. Het gaat om een SMS-trojan die berichten verstuurt naar dure nummers zodat cybercriminelen geld van geïnfecteerde gebruikers kunnen opharken. De trojan is vooral opgemerkt vanwege zijn complexiteit: geavanceerd misbruik van gaten, trucs om zijn code te verbergen en nieuwe verspreidingsmechanismen maken de malware een opvallende verschijning.

Trojan verbergt zich goed

De trojan maakt het de onderzoekers niet makkelijk om het malafide programma te analyseren. Om installatiebestanden voor Android (APK’s) te converteren naar de breder gebruikte JAR’s, gebruiken ontwikkelaars DEX2JAR en analisten gebruiken hetzelfde programma om verdachte samples beter te bestuderen. De trojan zorgt ervoor dat de conversie van Dalvik- naar Java-code wordt onderbroken.

“Malwareauteurs zorgen er in de regel voor dat hun code zo ingewikkeld mogelijk is om het leven van antimalware-deskundigen zuur te maken. Maar het is zeldzaam om dit soort geavanceerde verbergtrucs te zien in mobiele malware”, schrijft Kaspersky-onderzoeker Roman Unuchek.

Android-malware wordt slimmer

Android-malware groeit wel enorm, maar over het algemeen zijn dit heel simpele programma’s. Ze vertrouwen er voornamelijk op dat gebruikers de gewenste machtigingen verlenen en doen zich voor als populaire apps die in de meeste gevallen buiten Google’s appwinkel Google Play om worden binnengehaald.

Kaspersky verwachtte een tijdje terug al dat Android-malware in de nabije toekomst geavanceerder zou worden. Voor gerichte campagnes tegen bijvoorbeeld bedrijven of overheden, die malafide applicaties via hun meegebrachte apparaten per ongeluk toegang geven tot het netwerk, is wat meer nodig dan de huis-tuin-en-keuken-trojan die TAN-codes steelt.

Bron: Webwereld.nl