In weerwil van de lange wachtrijen voor de Apple-store bij de lancering van weer een nieuwe iPhone, zijn het toch de Android-telefoons die heersen. Volgens IDC scheert het marktaandeel van Android hoge toppen (meer dan tachtig procent), terwijl iOS slechts een marktaandeel van ongeveer tien procent heeft. De populariteit van Android – en bijbehorende kwetsbaarheid voor aanvallen – vloeit voort uit de beslissing van Google om van Android een open OS te maken.
Een open OS geeft veel fabrikanten de kans om toestellen te maken die op Android kunnen draaien. Nadeel is echter een grote OS-versnippering: verschillende leveranciers met ieder diverse modellen, uitgebracht over meerdere jaren – met als gevolg duizenden actieve versies van Android. Op zich geen groot probleem, maar elke versie heeft zwakke plekken in de software en die moeten allemaal de nodige patches krijgen. In het beste geval duurt het weken voor gebruikers een patch ontvangen van Google, hun smartphonefabrikant of een OEM-speler. Iets wat hackers maar al te goed weten.
Bouncer
Om deze beveiligingslekken uit te buiten, zetten hackers hun malware nu gewoon tussen de andere apps in de Google Play Store. Zij doen dit door de malware-componenten van hun apps te verdoezelen om voorbij Bouncer te glippen, de tool die Google gebruikt om apps te scannen alvorens ze worden verkocht en verspreid via de Google Play Store.
Een andere manier om malware voorbij de Bouncer-scans te krijgen, is de inzet van een zogenaamde dropper. Hierbij uploadt de aanvaller eerst een app die geen malware bevat, naar de Google Play Store. Nadat het slachtoffer deze app downloadt en installeert, zal de app contact maken met de server van de aanvaller en de malware naar het toestel van de gebruiker downloaden.
Een recent voorbeeld hiervan is Charger, ransomware voor Android-apparaten. Onderzoekers van Check Point ontdekten dat deze Charger-ransomware ingebed was in de app EnergyRescue, die beschikbaar is via Google Play Store. De geïnfecteerde app haalt contacten en sms-berichten van het toestel van de gebruiker en vraagt tevens om admin-rechten. Als de gebruiker deze rechten verleent, vergrendelt de ransomware het apparaat en toont de malware een bericht op het scherm waarin losgeld wordt gevraagd.
Camoufleren
Malware voor Android stelt ons ook op andere manieren voor problemen. Onderzoekers ontdekten dat aanvallers extra componenten in malware steken. Als de beveiliging één component uitschakelt, blijft een tweede component aanvallen. Andere threats verhinderen dat gebruikers de malware verwijderen. Deze threats verbergen het pictogram van de app, stellen de effectieve uitvoering van de malware uit, camoufleren de malware zodat deze eruit ziet als een legitieme app, en gebruiken social engineering om meer rechten te krijgen om het verwijderen van de app door de gebruiker te kunnen stoppen.
Dus als werknemers van uw organisatie hun Android-telefoons en tablets aansluiten op uw netwerk (via diensten zoals e-mail en VPN’s), moet er bij u een belletje rinkelen. Zorg ervoor dat u over de juiste mobiele veiligheidscontroles beschikt die voorkomen dat deze mobiele telefoons de poort openzetten voor aanvallen op uw organisatie.