Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

De DualToy-malware voor Windows-computers heeft de mogelijkheid om smartphones met Android of iOS aan te vallen die via usb verbonden zijn. De malware installeert malafide apps op de telefoons en zoekt gebruikersinformatie op.

De trojan begon zich te verspreiden in januari 2015 en richtte zich in eerste instantie vooral op Chinese gebruikers, schrijft beveiligingsbedrijf Palo Alto Networks. Inmiddels is de malware echter ook gesignaleerd in de Verenigde Staten, het Verenigd Koninkrijk, Thailand, Spanje en Ierland. Het bedrijf heeft intussen achtduizend verschillende varianten van de malware ontdekt. Het is nog niet bekend hoeveel computers erdoor geïnfecteerd zijn. Ook is onduidelijk hoe deze trojan verspreid wordt.

DualToy is gemaakt voor Windows-computers en is onder andere in staat om aangesloten Android- en iOS-apparaten te infecteren. Zowel Android als iOS vragen aan de gebruiker of de computer te vertrouwen is voordat deze toegang krijgt tot de inhoud van de mobiele apparaten. Veel gebruikers hebben die toegang echter al gegeven, aangezien de apparaten vaak al eerder aangesloten zijn geweest. Voor een aantal eigenschappen maakt de malware gebruik van de software Android Debug Bridge. Om deze software te laten werken, moet de optie usb-foutopsporing aanstaan. Deze optie staat standaard uit.

Als de malware eenmaal toegang heeft tot een Android-apparaat, installeert hij ongewenste apps die advertenties kunnen tonen en op de achtergrond andere apps kunnen installeren. Bij iOS wordt er een app geïnstalleerd die de gebruiker vraagt om zijn Apple-ID en wachtwoord. Bovendien worden de gegevens van het apparaat gestolen, zoals het serienummer en het telefoonnummer.

Het is niet de eerste keer dat dergelijke malware zich voordoet. In 2014 verscheen er malware voor Macintosh-computers die ook aangesloten iOS-apparaten infecteerde.

Dualtoy malware op Android en iOSDualtoy malware op Android en iOS

Moderatie-faq Wijzig weergave

Reacties (40)

Google kan dit gelukkig makkelijk tegengaan. Ook apps (APK's) die via ADB worden ge´nstalleerd, worden standaard ook gewoon gescand: app verification.

Je krijgt dan een melding als deze: https://arc.applause.com/.../verify_apps-1024x716.jpg

[Reactie gewijzigd door P1nGu1n op 14 september 2016 14:23]

Die nieuwe melding krijg je waarschijnlijk alleen op Android 6.x of hoger?
Verify apps is al sinds 2013 onderdeel van de Google Play Services. Ongeacht je Android versie krijgt deze dus updates. De nieuwe melding zal naar mij vermoeden ook op alle apparaten te zien zijn.

Meer info: https://arc.applause.com/2016/04/22/android-security-faq/
Net als een virusscanner moet de malware wel bekent zijn anders wordt de apk gewoon als virusvrij beschouwen. Ik zou dus niet volledig vertrouwen op de bescherming die Google biedt, maar gewoon je gezonde verstand gebruiken.
Klopt. En sinds deze variant bekend is, zal die snel geblokkeerd worden.

Overigens staat dit toch los van 'gezond verstand'? De app wordt zonder medeweten ge´nstalleerd. In dat geval kan een melding als deze de gebruiker op de hoogte stellen.
Er zijn legio varianten bekend en waarschijnlijk nog meer niet ontdekt. Simpelweg stellen dat de malware bekend is gaat niet op.
De gebruikers worden niet zomaar ge´nfecteerd met een trojan omdat vele niet verstandig met hun computer omgaan. Daar doel ik op met het stukje "gezond verstand".

Gelukkig lost Microsoft het tegenwoordig op door standaard een virusscanner te leveren en deze weer te activeren als een andere virusscanner niet up-to-date is.

Leuk dat deze versie bekend is, maar er is een reden dat er 8000 versies zijn. Ze passen iets aan en het kat en muis spel begint weer opnieuw.

[Reactie gewijzigd door vali op 14 september 2016 15:07]

Een telefoon die je niet voor development-doeleinden gebruikt waarvan USB debugging permanent aan staat, en "Verify apps over USB" uit hebt staan, en dan toch in paniek raakt door malafide apps, dan ben je volgens mij toch behoorlijk op weg met het niet gebruiken van je gezonde verstand ;)
Gezond verstand is bijvoorbeeld geen telefoons opladen aan computers zonder condoom, en de condoom alleen weglaten als je zeker weet dat een PC virusvrij is.
Daarom scant google regelmatig je telefoon op schadelijke apps.

Als hij een app vindt die schadelijk is dan krijg je een waarschuwing, het blijft dus niet bij 1 keer scannen.
Die je uit kunt zetten via de developer mode om bijvoorbeeld tools te flashen. Ik denk dat er ongetwijfeld mensen zijn die het vergeten terug aan te zetten daarna. Overigens inderdaad wel een vrij beperkte groep.
Ik heb geen idee waar je het over hebt? App verification staat los van de developer tools. Ik ben Android Developer en dit staat gewoon aan op alle test-devices.
Developers tools in de instellingen van android bedoeld hij.
Mijn iPhone vraagt op elke computer (Windows & Mac) altijd om toegang. Dus ik denk dat het voor de iPhone wel mee valt. Mede door het synchroniseren over WiFi wat mogelijk is. Ik sluit hem vrijwel nooit aan namelijk.
Veel gebruikers hebben die toegang echter al gegeven, aangezien de apparaten vaak al eerder aangesloten zijn geweest
Ik sluit mij aan bij de reactie hierboven. Elke keer als ik mijn iPhone aansluit wordt gevraagd om toestemming. Er is geen mogelijkheid dit te onthouden. De duiding van Tweakers hierboven zou daarom wellicht alleen opgaan voor Android-apparaten.
Dit geldt in ieder geval wel voor Android. Als je USB Debugging aan hebt staan, krijg je de volgende melding: https://www.embarcadero.c...bleUSBDebuggingDialog.png

Als je het vinkje aan zet, krijg je deze melding nooit meer voor die specifieke computer.
Volgens mij bestaat er zo iets gelijks aan iOS maar dan werkt het alleen op de Mac omdat je dan de iOS apparaat als vertrouwd ontwikkelaars toestel ... 'nog iets' kan toevoegen. Waardoor je zelf gemaakte apps kan debuggen.
Mijn iPhone vraagt op elke computer (Windows & Mac) altijd om toegang. Dus ik denk dat het voor de iPhone wel mee valt.

Op zich eens, doch punt is echter dat jij de iPhone voor een reden aansluit. Je wilt 'iets' doen. Dus je geeft die toestemming.

Echter achter de schermen heeft de malware op dat moment al je informatie te pakken en is bezig die te verzenden naar de thuis-basis. Ook is die op dat moment al een app aan het installeren op je iPhone. Dit terwijl jij bezig bent met het 'iets' wat je wilde doen (foto's synchroniseren, etc).

Het echte gevaar is echter die app die geinstalleerd is. Meeste gebruikers zullen nieuwsgierig zijn en de app starten. En teveel zullen daarna hun AppleID ook gewoon inkloppen ...

Het meevallen zit hem er vooral in dat via iTunes apps geinstalleerd kunnen worden, maar enkel indien je als gebruiker de popup die dan verschijnt wegklikt. Immers de app zal - neem ik aan - niet met een officieel Apple certifciaat ondertekend zijn, maar met een self-signed certifciaat of een gestolen certificaat van het iOS developer enterprise program.

Dus ik ben het met je eens dat voor de gemiddelde Tweaker het risico wel mee zal vallen, muv het lekken van data zoals IMEI etc. Dat is iets wat vrijwel niet te voorkomen is.
Ik denk toch dat de gemiddelde gebruiker zich wel even afvraagt hoe er een willekeurige app verschijnt op de telefoon. Hetzelfde met programma's op een computer. Ik denk dat mensen toch even gaan googlen wat het is en dan zullen ze er toch wel achter komen. Mensen moeten gewoon een klein beetje gezond verstand gebruiken bij dat soort dingen.
De meeste iphone gebruikers gebruiken de usbpoort op de computer om de accu op te laden, dan daadwerkelijk iets functioneels ermee tedoen
Als je op een Android toestel ADB toegang wilt activeren moet je toch wel een paar stappen uitvoeren die de gemiddelde gebruiker niet snel zal doen:

- developer opties aanzetten (die zit al redelijk verstopt)
- usb foutopsporing aanzetten (staat standaard uit)
- apparaat fysiek aan PC koppelen
- expliciet toegang geven voor de koppeling van deze PC en dit Android apparaat.

Als je al die dingen gedaan hebt, dan staat inderdaad je Android toestel helemaal open voor toegang vanaf die PC.

Ik zie niet direct hoe deze malware heel succesvol kan worden...
Precies. Je kunt als kwaadaardig WIndows-programma dan ook gewoon commando's geven aan de telefoon via ADB: als je de dingen die jij noemt gedaan hebt geef je gewoon de volledige controle over je telefoon aan je computer. Het is logisch dat je telefoon dan gehackt kan worden.
Je zal de mensen de kost moeten geven die deze stappen gewoon uitvoeren als daar op het scherm om gevraagd wordt :)
Dat is zeker waar helaas. Maar die mensen kun je ook de volgende stappen laten uitvoeren:
- zet "allow unknown sources" aan bij de instellingen
- zet "verify apps" uit
- ga naar geenvirus.com
- druk op "installeren"
- zeg ja tegen de installatie van "geenvirus.apk"

Dus dan denk ik dat er weinig extra risico in zit.
Hoe ontstaan 8000 (!) variaties van een trojan? Is dat een kwestie van geautomatiseerde wijzigingen van de malware zelf? Of een groot netwerk van criminelen die allemaal eigen variaties en toepassingen van deze malware maken?
Allebei mogelijk. Als zo'n exploit als onderdeel van een of andere exploit kit verkocht wordt zit je al snel aan de nodige variatie, maar (automatische) AV-countermeasures zijn inderdaad ook een optie.
Zelfs malware ondersteunt W10 Mobile niet.... :(

:+
"Macintosh-computers" is toch een term die al heel lang niet meer gebruikt wordt om Apple computers aan te duiden?
In 2014 verscheen er malware voor Macintosh-computers die ook aangesloten iOS-apparaten infecteerde.
Het is tamelijk offtopic maar ik heb het toch maar even opgezocht. Apple heeft tussen 1997 en 2006 het gebruik van de naam Macintosh afgebouwd.
bron: https://www.quora.com/Whe...-using-the-word-Macintosh
Mijn telefoon hangt nooit aan de computer alleen aan een powerbank of direct aan de muur.
Ik weet nog hoe makkelijk het was met een Lenovo S60 (Android 4.4) welke direct van een of andere toko kwam en een rotzooi dat erbij kwam. Ik kreeg allerlei porno/weer advertentie en troep. Malware scanner erover en constant kwamen zo'n 8 serieuze bedreigingen en waren deze weer weg, had ik de volgende dag weer precies hetzelfde. Ik heb toen een factory Android 5.0 gelukkig van de S60 kunnen vinden waardoor ik nu weer een toestel heb, welke gewoon functioneert en goed werkt zonder advertenties en rotzooi.
Vreemde doelgroep. Ik denk dat iemand die om welke reden dan ook adb debugging aan heeft gezet ook wel weet/op kan zoeken hoe van die malware af te komen.

(Hoewel er dan misschien al gegevens zijn gestolen...)
hoe werkt dit precies dan voor de iPhone?
Gebeurt dit alleen als je een jailbreak hebt gedaan of ook zonder?
Weet namelijk dat ik 1 keer een app geinstalleerd heb buiten de store om via een website en dat was een hel aan stappen die je moest nemen, en de tijd en datum synchronisatie moest uitstaan.

Hij vraag wel om je gebruikersnaam en wachtwoord, ook geen fijn gevoel mochten ze deze buit maken.
Whoops..

[Reactie gewijzigd door Falcon op 14 september 2016 19:47]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True