Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Geavanceerde Android-spyware infecteert alleen Italiaanse doelwitten'

Beveiligingsbedrijf Kaspersky heeft een variant van Android-spyware ontdekt die het zelf Skygofree noemt. De kwaadaardige software zou alleen doelwitten in ItaliŽ infecteren en afkomstig zijn van een it-bedrijf in dat land. De malware is actief sinds 2014.

In zijn analyse schrijft Kaspersky dat de malware in verschillende geavanceerde functies voorziet om aan informatie over slachtoffers te komen. Er zijn in totaal 48 commando's, die het bedrijf opsomt in een bijlage. Daaronder is het 'geofence'-commando, dat de microfoon van een geÔnfecteerd toestel inschakelt zodra dit op een bepaalde geografische locatie is aangekomen. De zogenaamde implant kan ook uiteenlopende gegevens stelen, zoals de inhoud van het klembord, de WhatsApp-berichtendatabase en andere specifieke bestanden. Het is bijvoorbeeld ook mogelijk een reverse shell op te zetten of door het gebruik van kwetsbaarheden hogere rechten te verkrijgen, zoals via TowelRoot.

De verspreiding van de malware zou via nagebouwde landingspagina's van mobiele providers plaatsvinden. Daar krijgen doelwitten een bericht voorgeschoteld dat er een update nodig is om 'storingen' te voorkomen. Nadat de malware is gedownload en wordt gestart, krijgt het slachtoffer een bericht te zien dat zijn configuratie een update ontvangt. Het app-icoon verdwijnt daarna en ook de daaropvolgende acties zijn onzichtbaar voor de gebruiker. Er zijn verschillende manieren om de implant aan te sturen als deze eenmaal op een apparaat aanwezig is. Dat kan via http, xmpp, sms en Firebase Cloud Messaging, aldus Kaspersky.

Een slachtoffer zou naar een dergelijke landingspagina gestuurd kunnen worden doordat bijvoorbeeld verbinding wordt gemaakt met een kwaadaardig wifinetwerk. De malware heeft bovendien een wifimodule aan boord, die een bepaald wifinetwerk op het apparaat configureert. Als het slachtoffer daarbij in de buurt komt, maakt de telefoon vervolgens vanzelf verbinding. Volgens Kaspersky is de malware sinds eind 2014 actief en was 2015 het jaar met de meeste activiteit. De laatste activiteit die door het bedrijf is opgemerkt, was in oktober van vorig jaar. Op basis van eigen statistieken heeft Kaspersky kunnen vaststellen dat alleen doelwitten in ItaliŽ zijn geÔnfecteerd.

Er zijn in de code, die overeenkomsten vertoont met bestaande spywarevarianten, bovendien Italiaanse commentaren en verwijzingen naar varianten van het woord 'Negg' gevonden. Volgens Forbes is dat een Italiaans bedrijf dat zich toelegt op het aanbieden van beveiligingsdiensten. Een anonieme bron in de Italiaanse surveillancewereld zegt tegen de site dat het bedrijf wellicht samenwerkt met de politie en 'de leegte opvult die Hacking Team heeft achtergelaten'. Hacking Team is een Italiaans bedrijf dat spionagesoftware ontwikkelt en in 2015 werd gehackt. Kaspersky trof naast de Android-spyware ook malware voor Windows aan, die onder meer gebruikt kan worden om Skype-gesprekken op te nemen.

Tijdlijn van de ontwikkeling van de malware

Door Sander van Voorst

Nieuwsredacteur

16-01-2018 • 13:45

24 Linkedin Google+

Reacties (24)

Wijzig sortering
Vreemd dat het doelwit zo specifiek is als 1 enkel land. Dit lijkt mij toch typische malware die je net op zoveel mogelijk devices wil krijgen om data te kunnen verzamelen.
Ik denk zoals in het artikel wordt aangegeven met "dat het bedrijf wellicht samenwerkt met de politie" de bedoeling is dat dit binnen een soort 'gedoogde juristrictie' kan vallen. Je wilt niet dat een stukje malware, gelinkt aan de Italiaanse overheid zijn gang gaat in bijv. Duitsland.
Dat de overheid in zn eigen land speelt met de regeltjes is nog iets wat te beheersen valt.
De verspreiding van de malware zou via nagebouwde landingspagina's van mobiele providers plaatsvinden. Daar krijgen doelwitten een bericht voorgeschoteld dat er een update nodig is om 'storingen' te voorkomen. Nadat de malware is gedownload en wordt gestart,
Ja goed, als je als gebruiker dit daadwerkelijk doet dan is dat nou eenmaal niet zo slim.
Dit hoort natuurlijk thuis in de categorie 'De email-attachment VIRUS.EXE openen'.
Dat had ik zo 123 niet gezien. Dan heb ik er zeker geen last van.

Maar dan zullen er alsnog veel toeristen denken, hmm een Italiaanse popup "click Ok" 'he nu doet de wifi het nog steeds niet'
Ja, ik denk dat die wifi hotspots het gevaarlijkst zijn, ik zou er waarschijnlijk ook intrappen - "ow dat zal wel nodig zijn om de wifi hier te laten werken". Daarom wel blij dat roamingtarieven nu afgeschaft zijn. Nu nog tethering overal toestaan en de consument kan een stuk veiliger zijn.
Tethering is overal toegestaan vanwege netneutraliteit.
Dat had ik zo 123 niet gezien.
Dat zeiden de mensen die de spyware geÔnstalleerd hebben ook.

[Reactie gewijzigd door DenOkster op 16 januari 2018 17:44]

alleen valt het meer in de categorie "De email-attachment instructies.docx openen'.
Inderdaad dat dacht ik ook al meteen, het aloude 'ik instaleer klakkeloos alles wat me voorgesteld wordt' hoort in de catergorie 'extreem dom'. Dat is hetzelfde als een wildvreemde die je op de parkeerplaats vraagt of je een messenset wil kopen.
Alhoewel ik zie mijn ouders dat wel doen .....

[Reactie gewijzigd door TaranQQ op 17 januari 2018 11:07]

Dat is best een uitgebreide commandolijst. Heb zo'n donker vermoeden dat dit misschien eerder van een andere mogendheid komt. Er zit weinig monetization in, maar best veel anti privacy features. En ook: Alleen Italianen targetten.
Wilde gok.. Hacking Team?
Had de laatste alinea niet gelezen :+

Best wel raar overigens, volgens de Kaspersky bijlage wordt het woord 'Negg' gebruikt in de domain names van verschillende Command & Controls servers. Het zou wel heel erg slordig zijn om zo jouw identiteit achter te laten.. Als het nu nog ergens diep in de code zou gezeten hebben...
Laat het Kapersky weten, wellicht hebben ze nog een sollicitatie uitstaan.

[Reactie gewijzigd door DenOkster op 16 januari 2018 17:46]

Ik moet eens even gaan bekijken of ik geÔnfecteerd ben. In ItaliŽ kom ik regelmatig free wifi zones aan. En zeker voordat de roaming kosten zijn afgeschaft zijn er waarschijnlijk veel toeristen die er gebruik van gemaakt hebben.

Kaspersky geinstalleerd en gescand. Mijn telefoon is niet geÔnfecteerd.

Ik heb verder nog niets kunnen vinden of je zelf kunt zien of je geÔnfecteerd bent. Maar dat zal met de komende dagen misschien gebeuren.

[Reactie gewijzigd door artificial_sun op 16 januari 2018 14:14]

Een korte analyse (+/- 20 minuten) van de "Device models targeted by the exploit module" genoemd in het PDF-bestand, leverde - niet verrassend - dat oudere smartphones het slachtoffer zijn. Het gaat hierbij om smartphones, geleverd met Android 4. De hoogste versie die ik tot nu toe tegenkwam is Android 4.2.1.

Tegelijkertijd vraag ik mij af, in hoeverre Android 8 (of 7 of 6 of 5 :+ ) daadwerkelijk veiliger zijn dan deze bovenstaande telefoons. Hierbij heb ik de volgende drie overwegingen:
  • het gedrag van degene die de telefoon bedient (al dan niet bewust van ITIL-praktijken)
  • in de nieuwere Android-versies richt Google zich (naar mijn idee) hoofdzakelijk op nieuwe functies en minder op bugs pletten
  • welke app gebruik je. Voorbeeld; een app die heel weinig kan (zoals Firefox Focus) *kan* het verschil zijn tussen geÔnfecteerd of niet. Bovendien is een app met ingebouwde advertenties hoe dan ook kwetsbaarder dan ťťn zonder advertenties.
(Bronnen:
- phonedb.net
- gsmchoice.com
- gsmarena.com)

[Reactie gewijzigd door Janbraam op 16 januari 2018 22:46]

Dat Kaspersky hiermee komt en niet een van de westerse beveiligingsbedrijven suggereert dat het overheids malware is die de westerse bedrijven op een whitelist of zo hebbe staan.
Of Kaspersky was gewoon de eerste die het gevonden heeft en het in het nieuws brengt...
Vind dit wel te weinig aanknopingspunten hebben voor zo'n complottheorie.
Als het een eenmalig verhaal zou zijn zou ik het zeker met je eens zijn, maar Kasperski - en alleen zij - komen met meer van dit soort dingen. Stuxnet was een van de bekendste. De rest lijkt overheidsspy en malware te negeren.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True