Cybercriminelen verstoppen malware in populaire Android games
Cybercriminelen hebben een backdoor trojan vermomd als populaire arcade games zoals Plants vs Zombies, Candy Crush en Super Hero Adventure. De software werd aangeboden in de officiële Google Play Store. Slachtoffers die één van de games dachten te downloaden installeerden in werkelijkheid ongemerkt malware op hun Android smartphone of tablet.
ESET analyseert in een blogpost op WeLiveSecurity.com de aanval, die bestaat uit twee delen. In een game zit een zogeheten 'trojan dropper' verstopt, waarmee een trojan op afstand kan worden ingeladen op een apparaat. De trojan dropper wordt op de apparaten geïnstalleerd als Android/TrojanDropper.Mapin. De trojan zelf wordt geïnstalleerd als Android/Mapin. Eenmaal geïnstalleerd kunnen aanvallers met behulp van de malware cybercriminelen de controle over apparaten van slachtoffers volledig overnemen. Het apparaat wordt vervolgens toegevoegd aan een botnet.
Timer maakt detectie moeilijker
De makers van de malware hebben een truc ingebouwd om detectie te voorkomen. Android/Mapin is voorzien van een timer, waardoor de trojan na installatie van een malafide app niet direct wordt geactiveerd. Slachtoffers weten dus niet direct wat de bron is van malware. Hierdoor kunnen zij moeilijker gerichte actie ondernemen om het probleem op te lossen.
ESET vermoedt dat de timer de reden is dat de malware in eerste instantie niet door Google is gedetecteerd en in verschillende varianten in de officiële Google Play Store is beland. "Sommige varianten van Android/Mapin worden pas na drie dagen volledig actief. Dit is waarschijnlijk één van de redenen waardoor de trojan dropper Google's antimalwaresysteem heeft weten te omzeilen", zegt Lukás Stefanko, een malware onderzoeker bij ESET.
Verstopt in meerdere games
De backdoor trojan is meerdere keren aangeboden in de officiële Google Play Store. Daarnaast is Android/Mapin ook aangeboden in verschillende alternatieve (onofficiële) appwinkels. De malware was vermomd als onder andere de games Plants vs zombies, Plants vs Zombies 2, Subway suffers, Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush en Racing Rivals. Eenmaal geïnstalleerd en geactiveerd wordt de trojan vermomd als een update voor Google Play of de applicatie 'Manage Settings'.
De trojan zou overigens nog niet volledig zijn uitontwikkeld. ESET waarschuwt dat de malware in de toekomst dan ook nog gevaarlijker kan worden. "Niet alle functionaliteiten van de trojan zijn volledig geïmplementeerd. Het is mogelijk dat deze dreiging nog in ontwikkeling is en de functionaliteiten van de trojan in de toekomst worden uitgebreid", legt Stefanko uit.
Meer over
Lees ook
Toolkit om ransomware te bouwen gratis online beschikbaar
Cybercriminelen hebben een nieuw verdienmodel verzonnen. Op internet wordt een toolkit gratis aangeboden waarmee ransomware kan worden gebouwd. Wie gebruikt maakt van de toolkit staat automatisch 20% van het losgeld dat met de ransomware wordt binnengehaald af aan de makers. De ‘Tox kit’, zoals de toolkit wordt genoemd, is ontdekt door Intel Secur1
Nieuwe Windows-malware kan machine onbruikbaar maken
Nieuwe Windows malware is opgedoken die zeer agressief te werk gaat. Indien anti-virussoftware op een besmette machine wordt aangetroffen wordt de machine onbruikbaar gemaakt. Hiervoor waarschuwt de Cisco Talos Security Intelligence and Research Group, de onderzoeksafdeling van Cisco. De Romertik-malware wordt verspreid via spam of phishingmailtjes. In de berichten wordt een ZIP-bestand meegestuurd met daarin een virus. Zodra deze malware is geïnstalleerd gaat de malware op zoek naar anti-virussoftware en bepaalt aan de hand van deze analyse zijn volgende stappen. Inloggegevens onderscheppen1
Zombie apps zijn beveiligingsrisico voor bedrijven
Zombie apps vormen een flink beveiligingsrisico’s voor bedrijven. Zombie apps zijn apps die nog wel op een smartphone of tablet van een werknemer staan, maar niet meer worden ondersteund door de ontwikkelaar. De apps krijgen geen updates meer en kunnen dan ook beveiligingsgaten bevatten. Hiervoor waarschuwt Domingo Guerra, directeur van Appthority1