Android-malware steelt data uit populaire apps als WhatsApp en Facebook

Beveiligingsbedrijf Palo Alto Networks heeft een analyse van Android-malware gepubliceerd die het zelf SpyDealer noemt. Deze richt zich op apparaten met verouderde Android-versies en maakt gebruik van een groot aantal technieken om gegevens te stelen, bijvoorbeeld uit populaire apps.

De malware is het meest effectief op apparaten met Android-versies tussen 2.2 en 4.4, omdat de gebruikte roottechniek alleen op die versies werkt. Op nieuwere varianten zou de malware echter alsnog gegevens kunnen bemachtigen, aldus het bedrijf. Volgens recente statistieken van Google draait ongeveer een kwart van alle Android-toestellen nog op die oude versies. Om roottoegang te verkrijgen, gebruikt SpyDealer de app Baidu Easy Root.

Palo Alto Networks zegt er niet zeker over te zijn op welke manier de malware wordt verspreid, zo komt deze niet voor in de Play Store van Google. Het bedrijf zegt aanwijzingen ervoor te hebben dat Chinese gebruikers geïnfecteerd worden via kwaadaardige wifi-netwerken. De malware zou sinds ongeveer anderhalf jaar in gebruik zijn en het lijkt erop dat hij zich nog in ontwikkeling bevindt. SpyDealer is in staat om commando's te ontvangen via een command and control-server.

Op die manier is de malware in staat om een groot aantal acties uit te voeren. Zo kan hij gegevens stelen uit veertig populaire apps, zoals Facebook, WhatsApp en Telegram. Daarvoor heeft de kwaadaardige software wel roottoegang nodig. De malware probeert bijvoorbeeld de databases van de verschillende apps uit te lezen en contacten te achterhalen. Via gebruik van de toegankelijkheidsdienst heeft de malware toegang tot de inhoud van berichten die op het scherm worden getoond, aldus het bedrijf.

Andere functionaliteit van SpyDealer is het opnemen van gesprekken, audio en video. Daarnaast is het mogelijk om screenshots te maken, de locatie van het apparaat te achterhalen en toegang te krijgen tot sms-berichten, telefooninformatie, gespreksgeschiedenis, contacten en wifi-informatie. Ten slotte kunnen oproepen vanaf een bepaald nummer automatisch aangenomen worden. Het bedrijf heeft Google van zijn bevindingen op de hoogte gesteld.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 07-07-2017 18:56 45

07-07-2017 • 18:56

45

Lees meer

'Google maakt opnemen telefoongesprekken onmogelijk in Android 9'
'Google maakt opnemen telefoongesprekken onmogelijk in Android 9' Nieuws van 15 augustus 2018
Google verwijderde vorig jaar 70 procent meer apps uit de Play Store dan in 2016
Google verwijderde vorig jaar 70 procent meer apps uit de Play Store dan in 2016 Nieuws van 30 januari 2018
Beveiligingsbedrijf identificeert 22 zaklamp-apps als adware in Play Store
Beveiligingsbedrijf identificeert 22 zaklamp-apps als adware in Play Store Nieuws van 5 januari 2018
'Veelzijdige Android-malware heeft Monero-miner aan boord'
'Veelzijdige Android-malware heeft Monero-miner aan boord' Nieuws van 18 december 2017
Google ontdekt Tizi-spyware die gegevens steelt op Android-apparaten
Google ontdekt Tizi-spyware die gegevens steelt op Android-apparaten Nieuws van 28 november 2017
Google pakt apps aan die 'onterecht' gebruikmaken van toegankelijkheidsdiensten
Google pakt apps aan die 'onterecht' gebruikmaken van toegankelijkheidsdiensten Nieuws van 13 november 2017
Nepversie WhatsApp voor Android meer dan een miljoen keer gedownload
Nepversie WhatsApp voor Android meer dan een miljoen keer gedownload Nieuws van 4 november 2017
Chinese Android-app laat gebruikers eenvoudige malware in elkaar zetten
Chinese Android-app laat gebruikers eenvoudige malware in elkaar zetten Nieuws van 25 augustus 2017
WhatsApp laat Android-gebruikers alle bestandstypes naar elkaar sturen
WhatsApp laat Android-gebruikers alle bestandstypes naar elkaar sturen Nieuws van 14 juli 2017
Android-malware injecteert code en schakelt beveiligingsfunctie uit
Android-malware injecteert code en schakelt beveiligingsfunctie uit Nieuws van 8 juni 2017
'Criminelen stalen in Rusland geld met Android-malware en planden uitbreiding'
'Criminelen stalen in Rusland geld met Android-malware en planden uitbreiding' Nieuws van 22 mei 2017
Chinese 'scheldende trojan' gebruikt nepzendmasten voor verspreiding
Chinese 'scheldende trojan' gebruikt nepzendmasten voor verspreiding Nieuws van 23 maart 2017
Charger-ransomware verschijnt in Play Store-app
Charger-ransomware verschijnt in Play Store-app Nieuws van 25 januari 2017
Meegeleverde downloaders op goedkope Android-telefoons halen malware binnen
Meegeleverde downloaders op goedkope Android-telefoons halen malware binnen Nieuws van 14 december 2016
Android-malware steelt Google-authenticatietokens om adware te installeren
Android-malware steelt Google-authenticatietokens om adware te installeren Nieuws van 30 november 2016
Android-malware kan toestellen rooten en code installeren
Android-malware kan toestellen rooten en code installeren Nieuws van 23 juni 2016
Meer producten en artikelen
Netwerk en systeembeheer Google Android Malware Security

Reacties (45)

-Moderatie-faq
45
44
19
4
1
14
Wijzig sortering
dakathefox 7 juli 2017 19:06
Ai... Dat doet zeer. Maar alleen op geroote toestellen dus?

Opgehelderd.
SpyDealer is only completely effective against Android devices running versions between 2.2 and 4.4, as the rooting tool it uses only supports those versions.

[Reactie gewijzigd door dakathefox op 26 juli 2024 10:15]

Noresponse @dakathefox7 juli 2017 19:53
Dit is toch al een tijdje bekend en daarnaast hebben ze ook al whatsapp op de pc gehackt op afstand. Je kan zelf met een simpele script in wordpad al iemand zijn whatsapp locatie zien en of deze ook beschikbaar is en dat is al een klein scriptje cq programma. Dus je kan nog verder.

Wel vervelend voor facebook hebben ze opeens niet meer het alleen recht om je foto's te verkopen of je contacten en je data en vooral die profielen :) Blij dat ik iets anders gebruik dan wahtsap en facebook met vrienden en familie.

Goede les niet je toestel rooten en blijf af van je kernel en vooral geen custom roms of apps downloaden buiten een store.

[Reactie gewijzigd door Noresponse op 26 juli 2024 10:15]

RebelwaClue @Noresponse8 juli 2017 15:22
Goede les niet je toestel rooten en blijf af van je kernel en vooral geen custom roms of apps downloaden buiten een store.
Dit is juist een reden om wel te rooten, omdat met rooten je ook een rootmanager (zoals SuperSU of Magisk) installeert. Als de malware dan root access vraagt, kan je deze blokken. Daarbij staat de kernel compleet los van root. En custom roms bieden juist meer mogelijkheid om een ouder toestel op een nieuwere Android versie te zetten, zonder deze exploits (custom rom hoef je geen root bij te nemen). Buiten de store moet je altijd opletten, maar er zijn genoeg veilige bronnen zoals APKMirror
arnovos @Noresponse7 juli 2017 21:06
Volgens mij heb je de les gemist. De malware zorgt zelf voor roottoegang. Op een ongeroote telefoon gaat hij gewoon aan de slag om zich de rechten te verschaffen die nodig zijn voor de snode plannen van de malwarebouwers.
The Zep Man
@Noresponse7 juli 2017 21:07
Goede les niet je toestel rooten en blijf af van je kernel en vooral geen custom roms of apps downloaden buiten een store.
Foute les. Ik draai de laatste Android met de laatste security patch, zonder gesloten Google code, met root wat niet zichtbaar is voor gewone applicaties.

De meeste van dit soort aanvallen vinden via sociale engineering plaats als dr laatste versie gebruikt wordt en er geen zero days bekend zijn. Goed opletten, geen vreemd spul openen en dan gaat het lang goed.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 10:15]

hcQd @dakathefox7 juli 2017 19:14
Het staat wat krom in de tekst. Deze malware maakt gebruik van exploits om roottoegang te krijgen, dezelfde als gebruik worden door Baidu Easy Root.
Jorgen @dakathefox7 juli 2017 19:16
Wat ik begrijp uit bovenstaande tekst, is dat de app middels een andere app zelf roottoegang verkrijgt.
Om roottoegang te verkrijgen, gebruikt SpyDealer de app Baidu Easy Root.
Schokkend hoe 1 malafide app dus toegang krijgt tot al je belangrijke gegevens, al je persoonlijke berichten en ook nog eens je foto en video.
hcQd @Jorgen7 juli 2017 19:29
Het maakt geen gebruik van een andere app, maar van de technieken daaruit:
SpyDealer uses exploits from a commercial rooting app
Het is gewoon het gebruikelijke niet goed lezen van de tweakers-redactie.
kakanox @hcQd7 juli 2017 20:02
Die zin kan je ook op twee manieren uitleggen.
SpyDealer zou exploits kunnen gebruiken die aanwezig zijn in Baidu Easy Root, of SpyDealer zou gebruik kunnen maken van dezelfde exploits als Baidu Easy Root.

De eerste variant is gezien de zinsopbouw waarschijnlijker.
watercoolertje
@kakanox7 juli 2017 20:09
Ze gebruiken exploits van Baidu Easy Root, niet in Baidu Easy Root ;)

Dus imho kan je het maar op 1 manier lezen en dat is die van Jorgen...

[Reactie gewijzigd door watercoolertje op 26 juli 2024 10:15]

brammieman @Jorgen7 juli 2017 22:01
Tja als een app eenmaal root heeft, heeft het toegang tot alles. Is een beetje het concept van root toegang hebben |:(
Het schokkende is dus niet dat het toegang tot alles heeft maar dat het root toegang kan krijgen.
Wederom een goed argument om er voor te zorgen dat je zelf root hebt dan kun je tenminste een root manager draaien.

[Reactie gewijzigd door brammieman op 26 juli 2024 10:15]

Cerberus_tm @brammieman8 juli 2017 02:02
Zo heb ik het ook altijd begrepen. Sommige mensen schijnen te denken dat je kwetsbaarder bent als je zelf root-toegang hebt, maar dat is niet zo, mits je een goede root-manager gebruikt, opdat je zelf kunt kiezen welke applicaties er root-toegang krijgen en welke niet. Als een programma een exploit gebruikt om root-toegang te krijgen, wordt dat niet makkelijker als jij zelf als root-toegang hebt via je root-manager: eerder het omgekeerde, om je kans hebt dat je root-manager bij het rooten de exploit afschermt of onder controle brengt.
FreshMaker @Cerberus_tm8 juli 2017 10:17
Zo heb ik het ook altijd begrepen. Sommige mensen schijnen te denken dat je kwetsbaarder bent als je zelf root-toegang hebt, maar dat is niet zo, mits je een goede root-manager gebruikt, opdat je zelf kunt kiezen welke applicaties er root-toegang krijgen en welke niet. Als een programma een exploit gebruikt om root-toegang te krijgen, wordt dat niet makkelijker als jij zelf als root-toegang hebt via je root-manager: eerder het omgekeerde, om je kans hebt dat je root-manager bij het rooten de exploit afschermt of onder controle brengt.
Zou dat zo werken ?
Dat mijn SuperSU / Magisk bij dit soort hacks alsnog opkomt, om me mijn toestemming te laten verlenen ?

Persoonlijk is mijn telefoon al vanaf dag één met root voorzien, maar er staan 'maar' 2 of 3 apps in, die dat mogen gebruiken, zonder elke keer te roepen.
De rest krijgt toestemming als ik dat nodig vind, of helemaal nooit.
( de standaard reply is dan ook deny, na 5 seconden, omdat als ik Titanium wil gebruiken, ik dat bewust doe )
BeosBeing @dakathefox11 juli 2017 21:15
De malware is het meest effectief op apparaten met Android-versies tussen 2.2 en 4.4,
\
Leve de gebruikers die nog op 1.5 zitten, die zijn inmiddels weer veilig. :+ (al zullen die de huidige WhatsApp, Telegram, Messenger en Facebook niet kunnen gebruiken)
True 7 juli 2017 19:11
Ik vraag me dan af wat de spreiding van de versies is binnen westerse landen? Die Platform Versions van Google is die ook beschikbaar voor alleen Nederland bijvoorbeeld, kan het namelijk niet vinden, maar het is wel iets wat Google met 100% zekerheid kan weten. 25% van de Android toestellen is mogelijk kwetsbaar, maar hoeveel procent van de Nederlandse of westerse landen?
Chip5y @True7 juli 2017 20:05
Het is iets waarvoor dat we in de westerse landen niet al te veel schrik van moeten hebben. Chinese toestellen zijn enorm kwetsbaar omdat de meeste gebruikers daar apps installeren van buiten Play Store, zowel gewoon gedownloade APK's als alternatieve app stores. De eerste beschermingslaag van Android is daar dus al bij heel veel toestellen standaard uitgeschakeld, namelijk het toelaten van installaties van buiten de officiële store. Dat maakt die toestellen dan ook kwetsbaarder voor aanvallen via openbare WiFi's en dus ook de infectie mogelijk.

Als je alleen download van de Play Store en de optie voor installaties van buiten de store hebt af staan (dit staat default uit) ben je veilig normaal. Ben je een modder en experimenteer je al wel eens heb je meer kans.

[Reactie gewijzigd door Chip5y op 26 juli 2024 10:15]

NonTweaker @Chip5y8 juli 2017 10:07
Off-topic... maybe..

" normaal " en veilig in 1 zin... ? afgelopen weken veel berichten over de door Play Store goedgekeurde aps / add-ons / extensions die door een hack overgenomen zijn en vervangen door een fake versie...

Voorbeeld : Social Fixer " CHROME EXTENSION HACKING UPDATE "
https://www.facebook.com/socialfixer/posts/10155117415829342

Quote :" While the slow Firefox approval process is annoying to me at times, every extension update is reviewed by a human. This is not the case for Google Chrome. Extension updates are automatically approved after some simple automated checks. "

Het ligt overal op de loer,,,
Verwijderd @NonTweaker8 juli 2017 10:25
Je praat eerst over Play Store.

En je geeft een voorbeeld wat te maken heeft met een Desktop Chrome browser. Hu?

Ik begrijp je niet. Maar ik begrijp volgens mij wel dat jij er al helemaal niks van begrijpt en maar wat praat.
NonTweaker @Verwijderd8 juli 2017 10:49
begint met ...off-topic...maybe..

Ik praat dus ook maar wat... helemaal gelijk... ! type-o mijner zijds.. ik bedoelde Chrome web store.

En wat ik bedoelde te zeggen.. staat onderaan.. het ligt overal op de loer...

Niet zo moeilijk denken en iemand gelijk afschieten met negatief commentaar, het zou beter passen dat als je iets niet begrijpt... dan even na te haken met een vraag .
tw_gotcha 7 juli 2017 19:35
volgens deze:
https://developer.android.com/about/dashboards/index.html
heeft 30% android 5/5.1 en 41% android 6/7 (1 week data verzamelen)
Jorgen 7 juli 2017 20:50
Ik denk dat jullie allemaal de sarcasmemeter bij de post van monojack in 'nieuws: Android-malware steelt data uit populaire apps als Whats... niet hebben zien uitslaan. Androidtelefoons worden helaas vaak te snel niet meer geüpdatet en dus hebben daardoor veel toestellen niet de nieuwste, maar een oudere versie van het OS geïnstalleerd. Lijkt me dat hij dat bedoelde.

[Reactie gewijzigd door Jorgen op 26 juli 2024 10:15]

monojack 7 juli 2017 19:08
Tja op nieuwere versies van Android hoeven ze zich niet te richten want die heeft toch bijna niemand op zijn foon staan
thomas1907 @monojack7 juli 2017 19:11
lees je de tekst wel eens?
Volgens recente statistieken van Google draait ongeveer een kwart van alle Android-toestellen nog op die oude versies.

[Reactie gewijzigd door thomas1907 op 26 juli 2024 10:15]

SgtElPotato @thomas19077 juli 2017 19:46
Een kwart draait op een versie die al zeer oud is. Dan kun je de tekst nog zo goed lezen maar het blijft een schrikbarend aantal..
watercoolertje
@SgtElPotato7 juli 2017 20:20
Hij zegt ook niet dat het weinig is dus waar je opmerking op slaat mag joost weten ;)

Punt is ook niet dat het er weinig zijn, het punt is dat het de opmerking van monojack kant nog wal raakt. Het loont natuurlijk meer om potentieel 75% van de markt te kunnen besmetten dan maar 25%...
SgtElPotato @watercoolertje7 juli 2017 20:47
Klopt, maar 75% bereik je niet zo maar, je moet dan meerdere delen van de markt alsnog pakken.
Met 5.0 en 5.1 heb je een groot deel en zijn er genoeg lekken te vinden dus easy win.
5.0 en 5.1 heeft nog 30% op zijn telefoon staan
6.0 staat op 31% van de telefoons
7.0 en 7.1 staat maar op 11% van de telefoons.

Android 5.0 is al beschikbaar sinds begin 2015 ter info.
FreshMaker @watercoolertje8 juli 2017 10:19
Hij zegt ook niet dat het weinig is dus waar je opmerking op slaat mag joost weten ;)

Punt is ook niet dat het er weinig zijn, het punt is dat het de opmerking van monojack kant nog wal raakt. Het loont natuurlijk meer om potentieel 75% van de markt te kunnen besmetten dan maar 25%...
Hij doelt op de immer populaire rant dat een android toestel nooit updates krijgt.
Het word nooit oud, tenminste, niet voor de onwetende, ergo @monojack trollt gewoon (weer)
monojack @FreshMaker8 juli 2017 13:22
Ik ben een troll omdat ik het gewoon zeg zoals het is?! 25% is rampzalig hoog! Op iOS is het amper 10% dat niet op de laatste versie draait. Dat is zelfs nog niet het cijfer dat op de laatste versie van Android draait en dan noem je mij onwetend?! Het heeft dus niks met onwetendheid te maken het heeft alles te maken met de feiten die Android fanboys zoals jij niet graag vernoemd zien en dan maar snel iemand een troll noemen.
pjdijkema @thomas19077 juli 2017 19:15
Ik vind Android 5 inmiddels ook vrij oud hoor.. En dan gaat het percentage wel naar de 50 procent denk ik.
watercoolertje
@pjdijkema7 juli 2017 20:23
Er staat:
nog op die oude versies
En als je dat terug leest in het artikel, dan zie je waar die op slaat, namelijk:
Android-versies tussen 2.2 en 4.4
Dus wat jij oud vindt doet er weinig toe, het ging er om dat het merendeel niet vatbaar is en een kleiner deel wel.

[Reactie gewijzigd door watercoolertje op 26 juli 2024 10:15]

Jeroen V. @monojack7 juli 2017 19:27
Je bedoelt de overige 75%?
monojack @Jeroen V.8 juli 2017 13:23
Maar niet alle 75% van die gebruikers zijn beschermd tegen andere malware.
Kiswum
7 juli 2017 22:34
De malware is het meest effectief op apparaten met Android-versies tussen 2.2 en 4.4
+
Daarvoor heeft de kwaadaardige software wel roottoegang nodig.
Stel je hebt een telefoon van 4 jaar oud en hij draait nog op Android 4.4. Ok, dan zou best kunnen. Stel dat je roottoegang hebt, waarom laat je er dan zo'n oude rom erop staan en upgrade je niet naar een nieuwe versie via XDA forums??
Dus deze mensen hebben wellicht wel de kennis om roottoegang toe te voegen, maar niet de kennis om er een nieuwere Android versie erop te zetten...
Jeroenlind @Kiswum8 juli 2017 06:26
Onderaan de eerste alinea: Om roottoegang te verkrijgen, gebruikt SpyDealer de app Baidu Easy Root.
Verwijderd @Jeroenlind8 juli 2017 10:30
Maar weinig mensen zijn echt zo aan het kloten met hun toestel. Die zijn zelf verantwoordelijk voor de risico's. Dan zeg ik: Deal with it. Suck it up! Ga janken.
Van der Berg 8 juli 2017 00:21
Dit is dan best vervelend en mijn tablet die ik nauwelijks gebruikt, heeft Android 4.4 Kitkat.

Hopelijk komen ze snel met een oplossing hiervoor met een betere beveiliging
r5copa 8 juli 2017 09:16
Zo maar even een vraag ...... Is dit niet gewoon door een scanner te traceren , en te blokkeren ?
Lijkt me wel toch ....
Verwijderd 8 juli 2017 10:16
Ik heb het rapport gelezen en de complexiteit en mogelijkheden van deze software is dermate hoog niveau dat ik mij afvraag of dit van een criminele organisatie kan zijn. Lijkt mij eerder dat dit door een natiestaat is ontwikkeld.

Ikzelf vermoed China maar kan mij vergissen. Ik denk dat de software gebruikt wordt om Chinese dissidenten en activisten in de gaten te houden.
The Underminer 8 juli 2017 14:39
In het artikel staat dat de malware de database uitleest van een aantal apps. Ter verduidelijking wordt hiermee waarschijnlijk bedoelt dat de gegevens op de telefoon worden uitgelezen, niet dat er toegang is tot een webserver

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq