Nieuws
Check Point Research ontdekt agressieve Android-malware ‘Rogue’
18 januari 2021 - Onderzoekers van Check Point Research (CPR) ontdekten zopas dat een Android-malwareleverancier samenwerkt met een dark net-marketeer aan een nieuw product: Rogue. Deze nieuwe malware kan apparaten overnemen en data, afbeeldingen, locaties, contacten en berichten binnendringen. De malwareleverancier, die in darknet fora de naam ‘Triangulum’ draagt, betrad begin 2017 al het darknet. In eerste instantie verkocht Triangulum een mobiele RAT (Remote Access Trojan) die zich focuste op Android producten.
De mobiele RAT kon gevoelige gegevens van C&C-servers halen en daarbij lokale gegevens vernietigen. Een paar maanden later startte de leverancier met het aanbieden van Android-malware. Daarna verdween Triangulum bijna 1,5 jaar lang van de radar, tot 6 april 2019. Op die dag introduceerde de leverancier in samenwerking met HexaGoN Dev, dat zich specialiseert in Android OS malware, een nieuw kwaadaardig product. Het product kreeg de naam ‘Rogue’ en maakt deel uit van de MRAT-familie (Mobile Remote Access Trojan). De malware kan apparaten overnemen en gegevens binnendringen, zoals foto's, locaties, contacten en berichten.Voordoen als Google-service
De malware maakt gebruik van het Firebase-platform van Google om zijn kwaadaardige bedoelingen te verhullen en zich voor te doen als een legitieme Google-service. Wanneer Rogue met succes alle vereiste machtigingen op het beoogde apparaat heeft verkregen, verbergt het zijn pictogram voor de gebruiker van het apparaat om ervoor te zorgen dat gebruikers er moeilijker weer vanaf komen. De malware registreert zich vervolgens als apparaatbeheerder. Wanneer de gebruiker de beheerdersrechten probeert in te trekken, verschijnt een bericht op het scherm: ‘Weet u zeker dat u alle gegevens wilt wissen?’ Het is duidelijk dat de makers tijdens hun pauze van 1,5 jaar een hoog-functionerende productielijn hebben gecreëerd voor de ontwikkeling en distributie van Android-malware.
Het wilde westen
Yaniv Balmas, hoofd Cyber Research bij Check Point: ‘’Malwareleveranciers worden steeds vindingrijker. Ons onderzoek geeft een kijku in de waanzin van het darknet. We zien hoe malware evolueert en merken hoe moeilijk het is om deze ontwikkeling op een effectieve manier te volgen, te classificeren en bedrijven ertegen te beschermen. Bovendien is er een verband tussen deze bizarre ondergrondse markt en de echte wereld. Het is namelijk heel gemakkelijk om dingen om te draaien en nepproducten te maken. Dit veroorzaakt natuurlijk veel ophef en het probleem is dat het beveiligingsleveranciers in de war kan brengen. Hoewel we manieren hebben om dergelijke zaken in de echte wereld te detecteren, is de ondergrondse markt in zekere zin nog steeds het wilde westen, waardoor het moeilijk is om te begrijpen wat een echte bedreiging is en wat niet."
Tips
Om malware-bedreigingen op mobiele apparaten zoveel mogelijk te voorkomen, kun u enkele eenvoudige tips aanhouden:
- Regelmatige updates van het besturingssysteem zijn essentieel. Mobiele apparaten moeten altijd worden bijgewerkt met de nieuwste versie van het OS om hen te beschermen tegen misbruik van buitenaf.
- Installeer alleen apps uit officiële app stores. Dit vermindert de kans op een onbedoelde installatie van mobiele malware of een kwaadaardige toepassing.
- Schakel de 'remote wipe'-mogelijkheid in op mobiele apparaten. Op alle apparaten moet 'wissen op afstand' mogelijk zijn om de kans op verlies van gevoelige gegevens te minimaliseren.
- Vertrouw niet zomaar op openbare Wi-Fi-netwerken. Ze maken het namelijk gemakkelijker om aanvallen uit te voeren, omdat ze als het ware een brug naar uw apparaat vormen. Door mobiele apparaten te beperken tot vertrouwde Wi-Fi- en mobiele netwerken wordt de blootstelling aan cyberdreigingen beperkt.