Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Spionagecampagne zet als chatapp vermomde Android-malware in om data te stelen'

De Amerikaanse burgerrechtenorganisatie EFF heeft samen met een beveiligingsbedrijf een spionagecampagne ontdekt die als chatapps vermomde Android-malware inzet om gevoelige gegevens te stelen. Dat gebeurde in meer dan twintig landen.

De EFF schrijft dat de campagne 'honderden gigabytes aan data van duizenden mensen heeft gestolen', onder meer in Nederland, Duitsland, Frankrijk en de VS. De campagne zou het werk kunnen zijn van een partij die opereert namens een land. Deze heeft van de EFF en beveiligingsbedrijf Lookout de naam Dark Caracal gekregen. Lookout heeft aanwijzingen gevonden dat de partij opereert vanuit een gebouw in Beiroet, dat toebehoort aan de Libanese inlichtingendienst. Dark Caracal zou sinds 2012 actief zijn en gebruikt naast mobiele malware, waaronder een FinFisher, ook desktopvarianten voor Windows, macOS en Linux.

Screenshot van de site

In een uitgebreider rapport gaat Lookout nader in op zijn bevindingen en schrijft het dat de Android-malware, genaamd Pallas, buiten de Play Store om wordt verspreid door middel van phishingberichten die verwijzen naar een downloadpagina voor Android-apps, oftewel een zogenaamd watering hole. Daar troffen doelwitten chatapps aan, zoals WhatsApp, Telegram, Threema en Signal. Deze hadden dezelfde functionaliteit als hun legitieme versies. Door gebruik te maken van uitgebreide permissies waren ze echter in staat om gevoelige gegevens te stelen, die vervolgens naar een Dark Caracal-server werden gestuurd.

Volgens Lookout maken die apps geen gebruik van zerodays en leunen ze daardoor voornamelijk op de permissies. Theoretisch kan de malware rootrechten verkrijgen, maar daarvoor vond het bedrijf geen aanwijzingen in de vorm van packages in de infrastructuur van Dark Caracal. De Pallas-malware is onder meer in staat om foto's te maken, berichten en contacten te stelen, de gps-positie te bepalen, audio op te nemen en inloggegevens te stelen via phishingsites, die als pop-ups verschijnen.

In het rapport vermeldt Lookout dat de EFF al eerder een deel van de gebruikte infrastructuur had ontdekt in relatie tot een andere campagne. Het bedrijf zegt dat het zijn bevindingen aan de hand van analyse van deze infrastructuur heeft verkregen, maar zegt niet of het daadwerkelijk toegang had tot bijvoorbeeld de c2-servers. Door de analyse kon het enkele testtoestellen identificeren die misschien werden gebruikt om de malware te testen. Deze leken op elkaar door de aanwezige software en andere informatie. Een op die testtoestellen aanwezig wifinetwerk wees naar het eerdergenoemde gebouw in Beiroet, samen met gebruikte ip-adressen en whois-informatie. De directeur van de Libanese inlichtingendienst zegt tegen Reuters dat zijn dienst deze mogelijkheden niet heeft. "We mochten willen dat we deze mogelijkheden hadden."

Statistieken van de Android-campagne, volgens Lookout

Door Sander van Voorst

Nieuwsredacteur

19-01-2018 • 11:57

43 Linkedin Google+

Reacties (43)

Wijzig sortering
Tja, waarom zou je tegenwoordig exploits gebruiken op telefoons als je gewoon kan vragen of de deur open mag? Zeker omdat alle bekende apps ook als legitieme versie zo belachelijk veel permissies nodig hebben.
Eigenlijk zijn de meeste permissies te verklaren. Soms kom je daar later pas achter of moet je echt even goed doordenken. Voorbeeldje: Google Camera, waarom heeft die app in godsnaam m'n locatie nodig? Nou, het is bijvoorbeeld mogelijk om een foto te combineren met je locatie zodat je bij het bekijken van de foto ziet waar deze is genomen. Kan leuk voor later zijn, of om te kijken op Google Maps waar je bent geweest in de afgelopen jaren: nieuws: Google geeft gebruikers inzicht in bezochte locaties

Het is grotendeels logisch nadenken, en de rest waarvan ik denk dat ik het niet nodig heb qua permissie, trek ik in. Zodra de app gaat zeuren of half werkt, schakel ik de nodige permissie in.

[Reactie gewijzigd door AnonymousWP op 19 januari 2018 12:15]

Een camera app die daarnaast ook mijn contactlijst wil inkijken wordt niet door mij toegelaten. Bovendien waarom niet per functie instelbaar? Voorbeeld: camera app krijgt default geen toegang tot locatie, per geval kan ik toestemming geven ...
Dat kan al een tijdje hoor (sinds Android Marshmallow, oftewel: 6.0). Zoals ik dus zei: waarvan ik niet wil dat die app daar toegang tot heeft, trek ik de permissie gewoon in. Of bedoel je "camera apps in het algemeen kunnen geen toegang krijgen tot locatie"?
Volgens mij bedoelt hij dat als hij een foto neemt, hij graag een element/vraag zou zien of hij voor die specifieke foto de permissie wil verlenen.
Leuk maar dat is nog niet echt granulaire controle. zo kan ik een app geen toegang geven tot de wifinetwerken om me heen zonder locatievoorzieningen aan te zetten. ookal is dat, voor de eindgebruiker, een nogal niche nut van wifinetwerken.
Kan al jaren op Windows Mobiel

reactie: -1? Kraak toch geen ander besturingssysteem af, maar constateer alleen iets? 8)7

[Reactie gewijzigd door Euronitwit op 19 januari 2018 13:26]

Wat bedoel je met: "reactie: -1? Kraak toch geen ander besturingssysteem af, maar constateer alleen iets?" Ik geef geen -1 reacties, nooit niet!
stond op dat moment op 1 off-topic en 4 ongewenst.

/off-topic
Per app en per onderdeel zelf toegang regelen.
Dit was juist ťťn van de reden, dat ik Windows Mobiel ging gebruiken.

[Reactie gewijzigd door Euronitwit op 19 januari 2018 13:56]

Het is grotendeels logisch nadenken, en de rest waarvan ik denk dat ik het niet nodig heb qua permissie, trek ik in. Zodra de app gaat zeuren of half werkt, schakel ik de nodige permissie in.
MAW je bent gewoon vatbaar voor de in het artikel gestelde malware, immers hebben ze voor het legitiem gestelde doel al die permissies gewoon nodig.
Als we gaan kijken naar de kwaadwillende apps: natuurlijk. Ik snap volledig dat de gemiddelde gebruiker er volledig in trapt. Die klikken maar op "accepteren", omdat ze simpelweg willen dat het werkt. Mijn reactie ging meer om permissies in het algemeen en was als reactie bedoelt waarom apps zoveel permissies lijken nodig te hebben.
Het is dus bijna altijd voor functionaliteit die ik niet wil. Ik zou eigenlijk eenmalig vast willen kunnen leggen dat ik dat soort data niet hoef en dat mijn Google Assistant daar ook niet bij kan, sterker nog ik zou die hele assistant om zeep willen helpen(onomkeerbaar). Ik kan gelukkig zelf nog nadenken en als ik zo oud ben dat het niet meer kan boeit het me ook niet meer. ;) Hoe meer je op andere middelen vertrouwt om dingen voor jou te onthouden en/of bedenken hoe sneller je brein achteruit gaat(en je verliest ook nog eens je privacy).
Het kan wel, en het heet XPrivacy. Daar kun je bovendien tot in enorm detail instellen wat een permissie mag. En indien geen permissie, of ie dan maar wat onzin moet melden. (app gelukkig, en jouw privacy beschermt)
Enige nadeel:Je hebt root nodig, en vergt toch nog wel iets kennis.
Het is ook niet raar dat een chatapp toegang wil hebben tot foto's,video en contacten. Locatie, zou ik ook niet meteen als verdacht bestempelen.
jij/ ik - wij als tweakers. Mijn vriendin snapt dat echt niet; aw leuk zaklamp appje (25mb!!!???) 1001 rechten .. boeien als het maar werkt. En als ik in onderwijs kijk, dan is dat nog 10x erger. Boeit ze helemaal geen drol. En kopen jaartje later nieuwe telefoon "want deze is traag" :F :N :'(
Tja, zelf heb ik er nog steeds een hekel aan. Gelukkig heeft Android tegenwoordig opties om permissies aan en uit te zetten. Mijn chatapps kan ik niet zonder extra acties contacten mee importeren.
Daarom is rooten en Xposed + Xprivacy draaien ook een veiligheids maatregel. WhatsApp kan bij mij bv. geen positie opvragen al staat het in de permissie lijst.
De inlichtingendienst van Libanon? Waarom zouden zij Europeanen begluren?
zelfde reden amerikanen ons begluren? :D
Wellicht faciliteren de Libanese veiligheidsdienst een buitenlandse veiligheidsdienst ? Net zoals de britten veel doen voor de Amerikanen en vice versa. Zo van kom lekker in Beiroet zitten. Dat is toch niet verdacht want dat wordt niet verwacht...

[Reactie gewijzigd door etrans op 19 januari 2018 13:59]

Dat is niet het hoofddoel. Dit is gericht op IS en consorten, een strijder (toch al niet te slim) op zoek naar beveiligde chatapps, op een goedkopere chinaphone zonder Playstore, komt al gauw op zo'n site uit.
ik zou dit eens lezen. maar ook de motivatie daarachter, unwarranted-surveillance.
ik kan nu via google al zien waar ik wanneer op welk moment hoelaat bij welk bedrijf ben geweest. (tin foil hat) ik vraag me af hoelang het nog duurt voordat ik kan terug horen wat mijn tv, mobiel, siri of koelkast heeft afgeluisterd(/tin foil hat)

https://nsa.gov1.info/utah-data-center/
Ja, dat kan je inderdaad zien. Echter kun je dat ook uitschakelen voor jezelf; Google zou natuurlijk altijd wel kunnen weten waar je zit (via Wi-Fi gegevens en 3/4G-verbindingen).
ik denk dat je vergeet dat ik verwijs naar de NSA. wie zegt dat als ik het uit zet en ik dus kan zien dat google het niet aan het bijhouden is dat niet toch stiekem wel gebeurt. met als voorbeeld dat de microfoon en camera gebruikt kunnen worden zonder tussen komst van de gebruiker. of apps die spontaan overal toegang tot willen hebben met of zonder toestemming van de gebruiker.
privacy is krankzinnig belangrijk. op dit moment wordt een vluchteling die een duits meisje heeft verkracht mogelijk veroordeeld omdat zijn telefoon aangeeft dat hij erg veel inspanning aan het verrichten was (wellicht met locatie gegevens) op het moment dat een meisje werd vermoord en verborgen. de app was een gezondheids app op zijn mobiel. ik overigens voor veroordeling. ik ben tegen vermoorden van mensen.
Ja goed, als je app buiten de playstore om download loop je altijd wel een risico. En vele van de ge-impersoneerde apps zijn daarop net gratis te verkrijgen. Kortom, dit valt perfect te vermijden als je via de officiŽle wegen je apps download.
Wil niet veel zeggen, maar er is herhaaldelijk aangetoond dat apps in de store ook niet altijd koosjer zijn.
In de Appstore is ook geregeld maleware gevonden
https://blog.malwarebytes...e-discovered-google-play/
1 voorbeeld

tevens een artikel van wired waarin word aangegeven hoe het komt dat maleare spyware en anderen sketchy software toch lang de scanner van google komt
https://www.wired.com/story/google-play-store-malware/

tevens al paar keer gebeurd in de apple app store
http://bgr.com/2017/06/12/app-store-scamware-apple/
van 2016 maar toch ook daar komt het blijkbaar langs de checkers.
nieuws: Kwaadwillenden plaatsten malware in App Store voor iOS

@chuk dus vermijden kun je het ook niet 100% als je via de normale wegen je apps download, ja je maakt de kans veel kleiner maar er zal altijd een kans blijven dat ook via google play of de apple app store je perongeluk iets van dit soort troep binnen haalt.
De EFF schrijft dat de campagne 'honderden gigabytes aan data van duizenden mensen heeft gestolen', onder meer in de Nederland, Duitsland, Frankrijk en de VS. De campagne zou het werk kunnen zijn van een partij die opereert namens een land. [...] Het bedrijf heeft aanwijzingen gevonden dat de partij opereert vanuit een gebouw in de Libanese hoofdstad Beiroet, dat toebehoort aan de inlichtingendienst van dat land.
Het is een beetje omslachtig verwoord, maar het antwoord lijkt me duidelijk?
Ik begrijp niet waarom mensen gratis apps via een onbetrouwbare derden website gaan downloaden.
Dat is zon beetje het domste wat je kunt doen en het meest sure fire way om malware te krijgen.

de quote van einstein komt hier goed tot zijn recht:
Two Things Are Infinite: the Universe and Human Stupidity
ha, zeg dat maar tegen mensen als mijn moeder...
Als die iets nodig heeft op d'r tabje, googled ze daar gewoon op en download ze wat. Soms heeft ze geluk en komt ze in de playstore terecht, maar soms ook 'where ever'. (kan het d'r 1000 x uitleggen).
Sommige mensen snappen het gewoon niet en/of zien het gevaar niet...ze willen alleen op x moment y kunnen doen...
Haha ik kan er ook 1.
Die installeert nog de malware en virusen die sommige websites geven met melden als "JE BEN BESMET!! DOWNLOAD NU DEZE APP"

Ik bedoel natuurlijk met mijn reactie niet dat IEDEREEN een idioot is.
Maar doel daar voornamelijk op de mensen die beter moeten weten.
Ik hoor soms dat mensen van 20 gezeik hebben met phising mails, malware op de telefoon, virussen van apps die sowieso al niet te vertrouwen zijn.
Dit zijn mensen waarvan je zou moeten verwachten, ongeacht hoe technisch ze aangelegd zijn, moeten kunnen herkennen in deze technologische wereld, wat wel of niet te vertrouwen is.
Voornamelijk de voor de hand liggende dingen.

Nou scheelt het.
De meeste mensen die met android malware in contact komen zijn techies die zelf al lopen te stuntelen met de telefoons (stuntelen als in lekker knutselen ;) ) en die mogen het wel melden maar zeker niet klagen.
alleen kunnen dit soort dingen ook gewoon via de playstore verspreid worden.
Maar het risico is velen malen kleiner.
Ik heb voor alsnog denk ik op een hand te tellen aantal berichten gezien waarin malware of iets dergelijks is verspreid IN de playstore.
Plus dat het er in de meeste van die gevallen snel verwijderd was.

90% van alle berichten over malware op android zaaien paniek van heb ik jou daar maar als je het artikel leest is het weer een geval van mensen die buiten de playstore dingen installeren en gezeik krijgen.

Je moet zelfs op android standaard aangeven dat je apps buiten de playstore wilt kunnen installeren.
Dan doe je het zelf.
Berichtgeving zou mijn inziens niet zo paniekzaaierig (als het al een woord is) moeten zijn.
Ik download de sourcecode van Signal via Github, patch deze zelf en build ook zelf. Dat lijkt me redelijk veilig (mijn patches hebben geen invloed op de encryptie, ze voegen alleen een volledige export toe).
Maar je download het van signal zelf?
of is het door iemand anders op git gezet ?

Je snapt denk ik waar ik naartoe wil.
Alles wat niet officieel door de makers op internet staat loopt het risico iets te hebben van derden.
En dan kun je het wel van git halen en zelf builden maar dan build je die troep net zo hard mee.
Ik haal de sourcecode uit het officiele Git repository. En ik check de veranderingen.

[Reactie gewijzigd door Morgan4321 op 19 januari 2018 14:21]

Dan heb je inderdaad zo goed als geen kans op bs :)
Via de veelbezochte website Nu.nl wordt het bestaan van deze wijdverbreide spionage malware aan het grote publiek bekend gemaakt. Tot grote opluchting van Google en Samsung geÔllustreerd met een foto van een iPhone zodat het grote publiek tenminste wel het idee krijgt dat die iPhone met z'n gesloten webwinkel deze en waarschijnlijk ook andere malware net zo makkelijk oploopt.

Altijd prettig, zulke objectieve en informatieve berichtgeving.
Tsja, eigenlijk is die afbeelding van nu.nl super verwarrend voor de lezer. Ze hebben namelijk een foto geplaatst van iemand met een iPhone, terwijl duidelijk vermeld staat dat alleen Android is getroffen.
Tsja, eigenlijk is die afbeelding van nu.nl super verwarrend voor de lezer. Ze hebben namelijk een foto geplaatst van iemand met een iPhone, terwijl duidelijk vermeld staat dat alleen Android is getroffen.
Klopt. Communiceren met plaatjes en teksten is mijn vak en ik weet hoe je met plaatjes mensen al een bepaalde kant op kunt 'helpen' denken. Hoe sterk je daarmee iemand kunt beÔnvloeden blijkt wel uit gezegdes als 'een beeld zegt meer dan 1000 woorden' of dat het heel wat sterker over komt als je zegt 'ik heb het met eigen ogen gezien' dan 'ik heb het met mijn eigen oren gehoord' of nog erger 'ik heb het zelf gelezen'...

En welke herkenbare telefoon ziet (met eigen ogen!) het minder technisch ingevoerde publiek bij dit bericht....?

edit: nog een toevoeging: dit zou een perfecte bericht zijn bij een onderzoekje in die richting. Laat dit bericht met en zonder foto van een iPhone zien aan een groep mensen en vraag die mensen aan de hand van een serie foto's van telefoons met vermelding van het besturingssysteem welke telefoons die malware zouden kunnen hebben. En kijk dan of er verschil is (ik weet vrijwel zeker dat het een behoorlijk verschil is..) tussen de uitkomsten van de mensen die het bericht met en zonder foto van die iPhone hebben gezien.

[Reactie gewijzigd door CharlesND op 19 januari 2018 13:06]

Zag net dat het aangepast is, nu duidelijk een afbeelding van Android.
Wederom een non issue imo.

Je krijgt dus een sms van iemand met een of andere link naar een webpagina, je gaat naar die pagina, download een apk die je ook in de play store kan terugvinden, disabled anti apk beveiliging, installeert die zooi, geeft het een hele hoop permissies die het totaal niet nodig heeft...

PEBKAC zou ik dan zeggen... Helaas is er wel een grote groep mensen die hier blijkbaar vatbaar voor is. Daar verschiet ik ook niet van. Ik ken firma's waar ze 5 keer achter elkaar dezelfde Locky variant hebben binnengehaald (met dezelfde mail , zelfde persoon |:( ).

We zouden naar een wettelijk verplicht computerbrevet moeten gaan, met een subklasse internet, net zoals auto/vrachtwagenbewijs. Dit soort problemen ga je anders nooit opgelost krijgen...

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True