Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Android-malware steelt data uit populaire apps als WhatsApp en Facebook

Door , 45 reacties

Beveiligingsbedrijf Palo Alto Networks heeft een analyse van Android-malware gepubliceerd die het zelf SpyDealer noemt. Deze richt zich op apparaten met verouderde Android-versies en maakt gebruik van een groot aantal technieken om gegevens te stelen, bijvoorbeeld uit populaire apps.

De malware is het meest effectief op apparaten met Android-versies tussen 2.2 en 4.4, omdat de gebruikte roottechniek alleen op die versies werkt. Op nieuwere varianten zou de malware echter alsnog gegevens kunnen bemachtigen, aldus het bedrijf. Volgens recente statistieken van Google draait ongeveer een kwart van alle Android-toestellen nog op die oude versies. Om roottoegang te verkrijgen, gebruikt SpyDealer de app Baidu Easy Root.

Palo Alto Networks zegt er niet zeker over te zijn op welke manier de malware wordt verspreid, zo komt deze niet voor in de Play Store van Google. Het bedrijf zegt aanwijzingen ervoor te hebben dat Chinese gebruikers geïnfecteerd worden via kwaadaardige wifi-netwerken. De malware zou sinds ongeveer anderhalf jaar in gebruik zijn en het lijkt erop dat hij zich nog in ontwikkeling bevindt. SpyDealer is in staat om commando's te ontvangen via een command and control-server.

Op die manier is de malware in staat om een groot aantal acties uit te voeren. Zo kan hij gegevens stelen uit veertig populaire apps, zoals Facebook, WhatsApp en Telegram. Daarvoor heeft de kwaadaardige software wel roottoegang nodig. De malware probeert bijvoorbeeld de databases van de verschillende apps uit te lezen en contacten te achterhalen. Via gebruik van de toegankelijkheidsdienst heeft de malware toegang tot de inhoud van berichten die op het scherm worden getoond, aldus het bedrijf.

Andere functionaliteit van SpyDealer is het opnemen van gesprekken, audio en video. Daarnaast is het mogelijk om screenshots te maken, de locatie van het apparaat te achterhalen en toegang te krijgen tot sms-berichten, telefooninformatie, gespreksgeschiedenis, contacten en wifi-informatie. Ten slotte kunnen oproepen vanaf een bepaald nummer automatisch aangenomen worden. Het bedrijf heeft Google van zijn bevindingen op de hoogte gesteld.

Door Sander van Voorst

Nieuwsredacteur

07-07-2017 • 18:56

45 Linkedin Google+

Reacties (45)

Wijzig sortering
Ai... Dat doet zeer. Maar alleen op geroote toestellen dus?

Opgehelderd.
SpyDealer is only completely effective against Android devices running versions between 2.2 and 4.4, as the rooting tool it uses only supports those versions.

[Reactie gewijzigd door mind123 op 7 juli 2017 19:21]

Dit is toch al een tijdje bekend en daarnaast hebben ze ook al whatsapp op de pc gehackt op afstand. Je kan zelf met een simpele script in wordpad al iemand zijn whatsapp locatie zien en of deze ook beschikbaar is en dat is al een klein scriptje cq programma. Dus je kan nog verder.

Wel vervelend voor facebook hebben ze opeens niet meer het alleen recht om je foto's te verkopen of je contacten en je data en vooral die profielen :) Blij dat ik iets anders gebruik dan wahtsap en facebook met vrienden en familie.

Goede les niet je toestel rooten en blijf af van je kernel en vooral geen custom roms of apps downloaden buiten een store.

[Reactie gewijzigd door Noresponse op 7 juli 2017 19:55]

Goede les niet je toestel rooten en blijf af van je kernel en vooral geen custom roms of apps downloaden buiten een store.
Dit is juist een reden om wel te rooten, omdat met rooten je ook een rootmanager (zoals SuperSU of Magisk) installeert. Als de malware dan root access vraagt, kan je deze blokken. Daarbij staat de kernel compleet los van root. En custom roms bieden juist meer mogelijkheid om een ouder toestel op een nieuwere Android versie te zetten, zonder deze exploits (custom rom hoef je geen root bij te nemen). Buiten de store moet je altijd opletten, maar er zijn genoeg veilige bronnen zoals APKMirror
Volgens mij heb je de les gemist. De malware zorgt zelf voor roottoegang. Op een ongeroote telefoon gaat hij gewoon aan de slag om zich de rechten te verschaffen die nodig zijn voor de snode plannen van de malwarebouwers.
Goede les niet je toestel rooten en blijf af van je kernel en vooral geen custom roms of apps downloaden buiten een store.
Foute les. Ik draai de laatste Android met de laatste security patch, zonder gesloten Google code, met root wat niet zichtbaar is voor gewone applicaties.

De meeste van dit soort aanvallen vinden via sociale engineering plaats als dr laatste versie gebruikt wordt en er geen zero days bekend zijn. Goed opletten, geen vreemd spul openen en dan gaat het lang goed.

[Reactie gewijzigd door The Zep Man op 7 juli 2017 21:08]

Het staat wat krom in de tekst. Deze malware maakt gebruik van exploits om roottoegang te krijgen, dezelfde als gebruik worden door Baidu Easy Root.
Wat ik begrijp uit bovenstaande tekst, is dat de app middels een andere app zelf roottoegang verkrijgt.
Om roottoegang te verkrijgen, gebruikt SpyDealer de app Baidu Easy Root.
Schokkend hoe 1 malafide app dus toegang krijgt tot al je belangrijke gegevens, al je persoonlijke berichten en ook nog eens je foto en video.
Het maakt geen gebruik van een andere app, maar van de technieken daaruit:
SpyDealer uses exploits from a commercial rooting app
Het is gewoon het gebruikelijke niet goed lezen van de tweakers-redactie.
Die zin kan je ook op twee manieren uitleggen.
SpyDealer zou exploits kunnen gebruiken die aanwezig zijn in Baidu Easy Root, of SpyDealer zou gebruik kunnen maken van dezelfde exploits als Baidu Easy Root.

De eerste variant is gezien de zinsopbouw waarschijnlijker.
Ze gebruiken exploits van Baidu Easy Root, niet in Baidu Easy Root ;)

Dus imho kan je het maar op 1 manier lezen en dat is die van Jorgen...

[Reactie gewijzigd door watercoolertje op 7 juli 2017 20:09]

Tja als een app eenmaal root heeft, heeft het toegang tot alles. Is een beetje het concept van root toegang hebben |:(
Het schokkende is dus niet dat het toegang tot alles heeft maar dat het root toegang kan krijgen.
Wederom een goed argument om er voor te zorgen dat je zelf root hebt dan kun je tenminste een root manager draaien.

[Reactie gewijzigd door brammieman op 7 juli 2017 22:02]

Zo heb ik het ook altijd begrepen. Sommige mensen schijnen te denken dat je kwetsbaarder bent als je zelf root-toegang hebt, maar dat is niet zo, mits je een goede root-manager gebruikt, opdat je zelf kunt kiezen welke applicaties er root-toegang krijgen en welke niet. Als een programma een exploit gebruikt om root-toegang te krijgen, wordt dat niet makkelijker als jij zelf als root-toegang hebt via je root-manager: eerder het omgekeerde, om je kans hebt dat je root-manager bij het rooten de exploit afschermt of onder controle brengt.
Zo heb ik het ook altijd begrepen. Sommige mensen schijnen te denken dat je kwetsbaarder bent als je zelf root-toegang hebt, maar dat is niet zo, mits je een goede root-manager gebruikt, opdat je zelf kunt kiezen welke applicaties er root-toegang krijgen en welke niet. Als een programma een exploit gebruikt om root-toegang te krijgen, wordt dat niet makkelijker als jij zelf als root-toegang hebt via je root-manager: eerder het omgekeerde, om je kans hebt dat je root-manager bij het rooten de exploit afschermt of onder controle brengt.
Zou dat zo werken ?
Dat mijn SuperSU / Magisk bij dit soort hacks alsnog opkomt, om me mijn toestemming te laten verlenen ?

Persoonlijk is mijn telefoon al vanaf dag ťťn met root voorzien, maar er staan 'maar' 2 of 3 apps in, die dat mogen gebruiken, zonder elke keer te roepen.
De rest krijgt toestemming als ik dat nodig vind, of helemaal nooit.
( de standaard reply is dan ook deny, na 5 seconden, omdat als ik Titanium wil gebruiken, ik dat bewust doe )
De malware is het meest effectief op apparaten met Android-versies tussen 2.2 en 4.4,
\
Leve de gebruikers die nog op 1.5 zitten, die zijn inmiddels weer veilig. :+ (al zullen die de huidige WhatsApp, Telegram, Messenger en Facebook niet kunnen gebruiken)
Ik vraag me dan af wat de spreiding van de versies is binnen westerse landen? Die Platform Versions van Google is die ook beschikbaar voor alleen Nederland bijvoorbeeld, kan het namelijk niet vinden, maar het is wel iets wat Google met 100% zekerheid kan weten. 25% van de Android toestellen is mogelijk kwetsbaar, maar hoeveel procent van de Nederlandse of westerse landen?
Het is iets waarvoor dat we in de westerse landen niet al te veel schrik van moeten hebben. Chinese toestellen zijn enorm kwetsbaar omdat de meeste gebruikers daar apps installeren van buiten Play Store, zowel gewoon gedownloade APK's als alternatieve app stores. De eerste beschermingslaag van Android is daar dus al bij heel veel toestellen standaard uitgeschakeld, namelijk het toelaten van installaties van buiten de officiŽle store. Dat maakt die toestellen dan ook kwetsbaarder voor aanvallen via openbare WiFi's en dus ook de infectie mogelijk.

Als je alleen download van de Play Store en de optie voor installaties van buiten de store hebt af staan (dit staat default uit) ben je veilig normaal. Ben je een modder en experimenteer je al wel eens heb je meer kans.

[Reactie gewijzigd door Chip5y op 7 juli 2017 20:06]

Off-topic... maybe..

" normaal " en veilig in 1 zin... ? afgelopen weken veel berichten over de door Play Store goedgekeurde aps / add-ons / extensions die door een hack overgenomen zijn en vervangen door een fake versie...

Voorbeeld : Social Fixer " CHROME EXTENSION HACKING UPDATE "
https://www.facebook.com/socialfixer/posts/10155117415829342

Quote :" While the slow Firefox approval process is annoying to me at times, every extension update is reviewed by a human. This is not the case for Google Chrome. Extension updates are automatically approved after some simple automated checks. "

Het ligt overal op de loer,,,
Je praat eerst over Play Store.

En je geeft een voorbeeld wat te maken heeft met een Desktop Chrome browser. Hu?

Ik begrijp je niet. Maar ik begrijp volgens mij wel dat jij er al helemaal niks van begrijpt en maar wat praat.
begint met ...off-topic...maybe..

Ik praat dus ook maar wat... helemaal gelijk... ! type-o mijner zijds.. ik bedoelde Chrome web store.

En wat ik bedoelde te zeggen.. staat onderaan.. het ligt overal op de loer...

Niet zo moeilijk denken en iemand gelijk afschieten met negatief commentaar, het zou beter passen dat als je iets niet begrijpt... dan even na te haken met een vraag .
volgens deze:
https://developer.android.com/about/dashboards/index.html
heeft 30% android 5/5.1 en 41% android 6/7 (1 week data verzamelen)
Ik denk dat jullie allemaal de sarcasmemeter bij de post van monojack in 'nieuws: Android-malware steelt data uit populaire apps als Whats... niet hebben zien uitslaan. Androidtelefoons worden helaas vaak te snel niet meer geŁpdatet en dus hebben daardoor veel toestellen niet de nieuwste, maar een oudere versie van het OS geÔnstalleerd. Lijkt me dat hij dat bedoelde.

[Reactie gewijzigd door Jorgen op 7 juli 2017 20:51]

Tja op nieuwere versies van Android hoeven ze zich niet te richten want die heeft toch bijna niemand op zijn foon staan
lees je de tekst wel eens?
Volgens recente statistieken van Google draait ongeveer een kwart van alle Android-toestellen nog op die oude versies.

[Reactie gewijzigd door thomas1907 op 7 juli 2017 19:12]

Een kwart draait op een versie die al zeer oud is. Dan kun je de tekst nog zo goed lezen maar het blijft een schrikbarend aantal..
Hij zegt ook niet dat het weinig is dus waar je opmerking op slaat mag joost weten ;)

Punt is ook niet dat het er weinig zijn, het punt is dat het de opmerking van monojack kant nog wal raakt. Het loont natuurlijk meer om potentieel 75% van de markt te kunnen besmetten dan maar 25%...
Klopt, maar 75% bereik je niet zo maar, je moet dan meerdere delen van de markt alsnog pakken.
Met 5.0 en 5.1 heb je een groot deel en zijn er genoeg lekken te vinden dus easy win.
5.0 en 5.1 heeft nog 30% op zijn telefoon staan
6.0 staat op 31% van de telefoons
7.0 en 7.1 staat maar op 11% van de telefoons.

Android 5.0 is al beschikbaar sinds begin 2015 ter info.
Hij zegt ook niet dat het weinig is dus waar je opmerking op slaat mag joost weten ;)

Punt is ook niet dat het er weinig zijn, het punt is dat het de opmerking van monojack kant nog wal raakt. Het loont natuurlijk meer om potentieel 75% van de markt te kunnen besmetten dan maar 25%...
Hij doelt op de immer populaire rant dat een android toestel nooit updates krijgt.
Het word nooit oud, tenminste, niet voor de onwetende, ergo @monojack trollt gewoon (weer)
Ik ben een troll omdat ik het gewoon zeg zoals het is?! 25% is rampzalig hoog! Op iOS is het amper 10% dat niet op de laatste versie draait. Dat is zelfs nog niet het cijfer dat op de laatste versie van Android draait en dan noem je mij onwetend?! Het heeft dus niks met onwetendheid te maken het heeft alles te maken met de feiten die Android fanboys zoals jij niet graag vernoemd zien en dan maar snel iemand een troll noemen.
Ik vind Android 5 inmiddels ook vrij oud hoor.. En dan gaat het percentage wel naar de 50 procent denk ik.
Er staat:
nog op die oude versies
En als je dat terug leest in het artikel, dan zie je waar die op slaat, namelijk:
Android-versies tussen 2.2 en 4.4
Dus wat jij oud vindt doet er weinig toe, het ging er om dat het merendeel niet vatbaar is en een kleiner deel wel.

[Reactie gewijzigd door watercoolertje op 7 juli 2017 20:25]

Je bedoelt de overige 75%?
Maar niet alle 75% van die gebruikers zijn beschermd tegen andere malware.
De malware is het meest effectief op apparaten met Android-versies tussen 2.2 en 4.4
+
Daarvoor heeft de kwaadaardige software wel roottoegang nodig.
Stel je hebt een telefoon van 4 jaar oud en hij draait nog op Android 4.4. Ok, dan zou best kunnen. Stel dat je roottoegang hebt, waarom laat je er dan zo'n oude rom erop staan en upgrade je niet naar een nieuwe versie via XDA forums??
Dus deze mensen hebben wellicht wel de kennis om roottoegang toe te voegen, maar niet de kennis om er een nieuwere Android versie erop te zetten...
Onderaan de eerste alinea: Om roottoegang te verkrijgen, gebruikt SpyDealer de app Baidu Easy Root.
Maar weinig mensen zijn echt zo aan het kloten met hun toestel. Die zijn zelf verantwoordelijk voor de risico's. Dan zeg ik: Deal with it. Suck it up! Ga janken.
Dit is dan best vervelend en mijn tablet die ik nauwelijks gebruikt, heeft Android 4.4 Kitkat.

Hopelijk komen ze snel met een oplossing hiervoor met een betere beveiliging
Zo maar even een vraag ...... Is dit niet gewoon door een scanner te traceren , en te blokkeren ?
Lijkt me wel toch ....
Ik heb het rapport gelezen en de complexiteit en mogelijkheden van deze software is dermate hoog niveau dat ik mij afvraag of dit van een criminele organisatie kan zijn. Lijkt mij eerder dat dit door een natiestaat is ontwikkeld.

Ikzelf vermoed China maar kan mij vergissen. Ik denk dat de software gebruikt wordt om Chinese dissidenten en activisten in de gaten te houden.
In het artikel staat dat de malware de database uitleest van een aantal apps. Ter verduidelijking wordt hiermee waarschijnlijk bedoelt dat de gegevens op de telefoon worden uitgelezen, niet dat er toegang is tot een webserver

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*