Spaanse Vodafone onderzoekt malware op HTC Magic

Vodafone zou in Spanje een HTC Magic verkocht hebben die is voorzien van malware, zo claimt beveilingssoftwaremaker Panda. Vodafone heeft aangegeven de zaak te onderzoeken, maar verwacht dat het om een incident gaat.

De gevonden malware is volgens beveilingssoftwaremaker Panda een Mariposa-botnetclient. In Spanje werd onlangs een botnet uit de lucht gehaald van bijna dertien miljoen computers die met deze malware besmet zijn.

De botnetclient zou zich op de HTC Magic in de autorun.inf- en autorun.exe-bestanden genesteld hebben. Naast Mariposa zou er op de Android-telefoon nog meer malware geïnstalleerd staan: Panda vond op het toestel Conficker- en Lineage-malware, waarmee wachtwoorden van de gebruiker achterhaald kunnen worden. Doordat de autorun-bestanden automatisch worden uitgevoerd na het aansluiten van de HTC Magic op de pc, kan de malware zich meteen verspreiden.

De provider zou een onderzoek hebben ingesteld, maar denkt vooralsnog dat het om een incident gaat. Volgens Vodafone is het mogelijk dat de geïnfecteerde HTC Magic is gebruikt in combinatie met een al gebruikte geheugenkaart, die niet op de aanwezigheid van malware gecontroleerd zou zijn.

Reacties (39)

Verwijderd 9 maart 2010 18:52

In dit geval is er sprake van een .exe en .inf file op een Android systeem. Alleen wanneer je de HTC Magic op je windows machine aansloot kon er infectie plaastvinden.
Het is dus niet zozeer een besmette telefoon, maar eerder een USB stick (waar je ook mee kunt bellen) waar besmette bestanden op stonden. Het zou groter nieuws geweest zijn wanneer android als besturingssyteem besmet zou zijn geweest met malware.

mphilipp @Verwijderd • 9 maart 2010 19:03

De telefoon was een drager zou je kunnen zeggen. In feite net zo erg, want die verspreiden het ook, net als de virii die biologische wezens besmetten.

Evengoed zal er best wel een keer een virus voor Android komen. Het is een computer, men kán er iets voor maken, dus ik zie niet waarom er geen virus voor geschreven kan worden. En aangezien Android best populair aan het worden is, en het beleid niet zo strikt is als bij Apple zal er wellicht eerder een virus voor Android komen als voor de iPhone. Vooral ook omdat Android meer gebruikt wordt door mensen die overal mee zitten te pielen en het ding lekker rooten enzo. iPhone is meer gericht op mensen die de standaard zaken gebruiken en niet meer dan dat (buiten de jailbreakers natuurlijk).

[Reactie gewijzigd door mphilipp op 31 juli 2024 14:25]

Verwijderd @mphilipp • 9 maart 2010 20:16

Even ter correctie:

"Android best populair aan het worden is, en het beleid niet zo strikt is als bij Apple".

- Quote: "Android is a software stack for mobile devices that includes an operating system"
- Apple is een bedrijf.

Een vergelijk tussen Apple en Android kan niet gemaakt worden.

Ter vergelijk : Motorola mag bijvoorbeeld Android gebruiken voor zijn mobieltjes, een app store maken voor deze mobiel en het geheel ook dichtgooien voor externe applicaties.

Ries

mphilipp @Verwijderd • 9 maart 2010 20:24

Misschien moet ik het even uitspellen dan, want mijn uitspraak is weer erg ingewikkeld merk ik:

Apple heeft voor de iPhone een Appstore waarvoor elke app die ingestuurd wordt, gecontroleerd wordt. Uiteraard kan iemand nog buiten de appstore om iets installeren, maar ik denk dat er maar (relatief) weinig iPhone bezitters zijn die dat kunnen/doen.

Google heeft voor Android ook een Appstore, waarvoor een minder streng beleid geldt. Bovendien is Android een OS waar meer mee 'gerommeld' kan worden door de gebruiker.

Ergo: om voor de iPhone een virus te introduceren is lastig (niet onmogelijk) omdat je nooit alle iPhone kunt bereiken, of in ieder geval geen zekerheid hebt dat het bij een meerderheid gaat draaien.
Op Android is dat iets makkelijker, gezien het open karakter van het systeem.

En voor Windows Mobile is idd nog geen virus (tenminste, ik heb het nog niet gehoord), maar dat is denk ik ook te wijten aan het feit dat er nu een aantal verschillende versies lopen en het pas sinds de introductie van de iPhone is dat de mobile devices op grote schaal online worden gebruikt voor internet (anders dan email en zeer beperkt browsen). Dus het begint nu pas interessant te worden. Let maar op als er straks allerlei betaaltoestanden komen op mobieltjes die populair worden. Ik begin daar dus voorlopig niet aan.

phizzie @mphilipp • 9 maart 2010 21:15

Okee, nog verder verduidelijken.

Android kan mee geknutseld worden. Echter kunnen bestanden niet zomaar aangesproken worden op het toestel, een ingebakken feature met Java; private en public declaraties.

Binnen het Android besturingssysteem is door de keuze voor Java en het gebruiken van de Dalvik VM toch echt een vrij stabiel en 'veilig' systeem gemaakt. Alles draait in zijn eigen sandbox omgeving. Applicaties blijven ook niet eeuwig op de achtergrond draaien en moeten bij iedere installatie goedgekeurd worden door de eindgebruiker.

Het open karakter waar je op doelt heeft te maken met de market, het is inderdaad mogelijk om je app direct te kunnen aanbieden aan de rest van de wereld. Dat betekent echter nog niet dat je eenvoudigweg op alle devices komt. Je moet ook echt een goede app maken wil je interessant genoeg worden voor de massa.

Kortom: iPhone en Android devices zijn in mijn beleving veilig genoeg. Voor Symbian en allerlei Nokia toestellen waren er ook 'miljoenen besmettingen' voorspeld enkele jaren geleden. Niets van uit gekomen... En toch is dat nu 48% van de markt [Gartner research]

[Reactie gewijzigd door phizzie op 31 juli 2024 14:25]

mphilipp @phizzie • 10 maart 2010 00:34

Dat kan allemaal best, maar ik denk niet dat je vooraf uit kunt sluiten dat er voor een platform een virus geschreven gaat worden. Ik ben geen expert op dat gebied, maar (vooral hier op twiekers) is men altijd heel snel om te roepen dat alles gekraakt kan worden. Ik weet het niet. Jij lijkt er vrij zeker van dat het niet gebeurt, omdat het nog nooit gebeurt is. Ik neem dat risico niet. Als het kan, gebeurt het. En het gebeurt als het a)de moeite waard is en/of b)het makkelijk genoeg is.

Tot nu toe is het mobiele platform nog niet interessant genoeg. Het wordt bv nog niet massaal gebruikt om mee te bankieren. Dus waarom zou je er heel veel moeite in steken? Ik denk dus dat het dáárom niet gebeurt. De huis-pc is op dit moment veel interessanter. Het is echt niet omdat het mobiele platform inherent veiliger is. Ik denk juist dat het super-onveilig is, gezien het doorsnee publiek dat dergelijke gadgets gebruikt, telefoons laat slingeren, zeer onvoorzichtig en achteloos omgaat met social media en dus een prime target is voor een kwaad willende figuur. Instapplaatsen genoeg zou ik zo zeggen. En du moment dat er de mobieltjes veel gebruikt gaan worden om te betalen, gaat er gegarandeerd iets komen dat dat gaat exploiteren. Daar hoef ik geen security expert voor te zijn.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
HTC
Smartphones

@mphilipp • 10 maart 2010 07:33

Dat zeker, maar niet via een app ofso, voor elk onderdeel dat een app toegang moet hebben krijg je een soort waarschuwing bij het installeren (hoewel ik betwijfel of een app wel toegang kan krijgen tot de juiste bestanden). Dan moet het al via het web, maar he de browser draait ook in een sandbox

Dan blijven er enkel apps over die je zelf op je telefoon zet (bij iphone met root, bij android met/zonder root) en ook daar krijg je de vraag of die toegang mag hebben tot zus of zo

Dus ja het overkomt dan zowiezo enkel mensen die dat nooit lezen

Dus ik ben er zeker niet bang voor

Er zal vast wel een keer iets te exploiteren maar je vergeet dat de nieuwere OSen ook echt van deze tijd zijn kwa beveiliging

En dat dat binnen no time gefixed kan worden door een update...

thedicemaster @mphilipp • 9 maart 2010 19:42

ik dacht dat de iphone al een virus had dat via ssh werkte.
al vereiste dit wel een gejailbreakte iphone.

Craven @thedicemaster • 9 maart 2010 19:45

dat was geen virus maar gewoon een scriptkiddy die handig gebruik maakte van "domme" mensen.

bvdbijl @Craven • 9 maart 2010 21:22

En die scriptkiddy, wat maakte die?
Juist, een virus... (of nog specifieker, een worm)

Overigens denk ik niet dat er zo snel een virus voor de niet-root Android noch voor de niet-root iPhone omdat ze beiden (zo ver ik weet) een robuuste sandbox voor de applicaties hebben.

SunnieNL

@Craven • 10 maart 2010 08:19

die domme mensen zorgen ook in de pc wereld voor de virussen.
Als ze niet zo dom maar alles zouden accepteren wat in het beeld springt.

ZpAz

Mobiele besturingssystemen

@thedicemaster • 9 maart 2010 20:06

Als mensen jailbreaken, zelf een SSH server installeren, en dan het wachtwoord niet veranderen van het standaard wachtwoord, dan vraag je er gewoon om.

Dat iemand dan de tmobile ip-adressen ging afscannen, op openstaande poorten, en het default wachtwoord uitprobeert, kan je geen virus noemen. Maar gewoon stommiteit van de mensen die het wachtwoord niet veranderen.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
HTC
Smartphones

@ZpAz • 10 maart 2010 07:28

En exact hetzelfde geldt voor Android, zolang je dat soort dingen niet doet ben je zowiezo uit de gevarenzone. Met een Iphone of Android device

Verwijderd @mphilipp • 9 maart 2010 20:12

Ik vraag me af of er veel virussen voor Android worden geschreven. Ik zie ze eigenlijk alleen maar voor Windows, niet eens de Mobile variant, en de virusschrijvers hebben kennelijk zeer weinig belangstelling voor elk ander besturingssysteem. Dat kan natuurlijk veranderen, maar gezien het groeiende aantal Mac's en het niet meegroeiende aantal virussen daarvoor zie ik het niet zo snel met telefoons gebeuren.

Sjoerdos @mphilipp • 9 maart 2010 22:12

Hoeft niet per se.....linux is ook best populair, theoretisch kunnen er virussen voor geschreven worden maar het gebeurt niet, het is gewoon 'not done'

Verwijderd @Sjoerdos • 10 maart 2010 00:15

'not done' wil ik niet zeggen. De 'markt' is er simpelweg te klein voor. De grootverbruikers van Linux zijn nog steeds bedrijven. Bij consumenten is het vrij eenvoudig een virusje naar binnen te helpen en zich te laten versprijden. Bij een bedrijf word dat een stuk lastiger. Het is zeker niet onmogelijk (laatst nog, geinfecteerde usbstick...) maar wel een stuk lastiger. Daarom is het voor onze vrienden die botnets gebruiken etc veel slimmer om een virus voor Windows te schrijven.

En drager zijn kan iedereen. Zolang de PC die geinfecteerd is kan schrijven op je SD card, je telefoon, je usbstick of noem maar wat, ben je de pineut. Klaar uit.

Ik ben zelf overigens een (dagelijkse) Linux gebruiker (huidige bericht word getypt op Ubuntu 10.04 Alpha 3, draait als een 'tiet' trouwens

) maar ben al de nodige keren dragen geweest van een 'Windows virus'.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 14:25]

LuckY @mphilipp • 10 maart 2010 00:16

Ter verduidelijking van je punt :

Zie : http://security.nl/artike...et_van_8.000_iPhones.html

nderzoekers van TippingPoint hebben tijdens de RSA conferentie gedemonstreerd hoe eenvoudig het is om mensen met een smartphone zichzelf te laten besmetten. Derek Brown en Daniel Tijerina maakten een weerapplicatie voor de iPhone en Google Android, genaamd WeatherFist. In werkelijkheid ging het om een programma dat informatie over gebruikers verzamelde. De applicatie werd op verschillende marktplaatsen voor Androids en gejailbreakte iPhones aangeboden. Apple's AppStore was volgens de onderzoekers geen optie, aangezien de applicaties redelijk goed gecontroleerd worden.

Misbruik
De onderzoekers willen met hun experiment het gevaar van een mobiel botnet aantonen. Daarvoor ontwikkelden ze ook een applicatie genaamd WeatherFistBadMonkey, die contactgegevens, cookies en fysieke adressen verzamelde, maar ook spam kan versturen. Dit programma werd door Brown en Tijerina alleen op hun eigen smartphone uitgeprobeerd. Vanwege de kans op misbruik zijn de onderzoekers dan ook niet van plan om het programma te verspreiden.

Het is een proof of concept, alleen als de gebruiker iets wil, dan installeert die het... het maakt niet uit van welke bron het komt.

En @ de SSH dingen, dat was gewoon dom. Mensen die een tutorial volgen maar niet het wachtwoord aanpassen

En door 2 programma's aan elkaar te koppelen. Kan je inderdaad gewoon ranges op poort 22 scannen en het wachtwoord proberen.
Echter blijft dit illegaal

en @

Hoeft niet per se.....linux is ook best populair, theoretisch kunnen er virussen voor geschreven worden maar het gebeurt niet, het is gewoon 'not done'

Mwah dat is ook niet helemaal waar, de meeste mensen die nu op linux zitten weten waar ze mee bezig zijn (vaak). Er is al veel veranderd qua users met de hype van ubuntu en de netbooks die mensen overzetten op linux. Echter je blijft de mensen hebben die hun wachtwoord blijven invoeren ook al zet je een grote warning erop dat er iets stuk kan gaan.

Het blijven gewoon PEBKAC 's .. weinig aan te doen. Behalve ISP maatregelen, maarja dan moet je dingen gaan blocken en dat wordt ook niet door de mensen in dank afgenomen die wel weten hoe ze er mee om moeten gaan

HoeZoWie @Verwijderd • 10 maart 2010 11:33

In dit geval is er sprake van een .exe en .inf file op een Android systeem. Alleen wanneer je de HTC Magic op je windows machine aansloot kon er infectie plaastvinden.
Het is dus niet zozeer een besmette telefoon, maar eerder een USB stick (waar je ook mee kunt bellen) waar besmette bestanden op stonden. Het zou groter nieuws geweest zijn wanneer android als besturingssyteem besmet zou zijn geweest met malware

Hèh-hèè..., eindelijk iemand die in deze hele flame een beetje nadenkt!
Want alle nozums vóór jou, hebben dat nog niet gedaan,
klasse alfred.heitink! $_/-\o_$

bas-r 9 maart 2010 18:39

Het gaat hier om 1 telefoon als ik het goed begrijp?
Dat lijkt me dan inderdaad een incident en waarschijnlijk te wijten aan de gebruiker van die telefoon. Beetje stug dat Vodafone 1 telefoon besmet aflevert en verder geen enkele.

Ik ben benieuwd wat er uit het onderzoek van Vodafone komt, maar ik vermoed dat ze niets te verwijten valt.

[Reactie gewijzigd door bas-r op 31 juli 2024 14:25]

Verwijderd @bas-r • 9 maart 2010 19:17

Of ze maar 1 besmette telefoon hebben afgeleverd is neem ik aan wat ze gaan onderzoeken, je merkt er volgens mij als gebruiker niet bijzonder veel van

HoeZoWie @Verwijderd • 10 maart 2010 11:27

waarmee wachtwoorden van de gebruiker achterhaald kunnen worden. Doordat de autorun-bestanden automatisch worden uitgevoerd na het aansluiten van de HTC Magic op de pc, kan de malware zich meteen verspreiden

Nee, alleen al dat zijn telefoon en betaalrekening leeg geplunderd kan worden...,
verder merkt die gebruiker niet zo erg veel, nee....

watercoolertje

Google
Google Android
Mobiele besturingssystemen
HTC
Smartphones

@HoeZoWie • 10 maart 2010 11:39

Vertel hoe doe je dat want dat is het wel waard een virus te schrijven

Ow wacht dat kan met gene mgoelijkheid, de malware is namelijk voor je PC, niet voor je telefoon, dat is de drager...

BeosBeing @watercoolertje • 11 maart 2010 16:14

Dit ding draait op Windows Mobile, en dat is gebaseerd op WinCE wat weer is terug te voeren tot pre XP/NT-windows-versies. In principe is deze telefoon dus compatible met alle 16-bits windows code en dus ook vatbaar voor 16bits Windows virussen, is alleen een kwestie van hercompileren, dus best interessant voor virusmakers.

Alleen gaat Norton Internet Security Suite of iets dergelijks dus hier niet op werken.
Ideaal voor spammers. Het wordt dus nog ' leuk' op de GSM-netwerken.

[Reactie gewijzigd door BeosBeing op 31 juli 2024 14:25]

bvdbijl @bas-r • 9 maart 2010 20:56

Waarschijnlijk is er een computer in de fabriek besmet geraakt die alle flashchips van te voren een inhoud geeft of iets dergelijks, en Vodafone heeft net het ongeluk gehad dat zij een reeks telefoons met die malware hebben ontvangen om te verkopen aan klanten.
Dus ik denk ook niet dat de schuld bij Vodafone ligt.

Plopeye @bas-r • 10 maart 2010 13:05

Misschien ook wel, alleen dat gaat natuurlijk niet uit eigen onderzoek blijken...

Vodafone en vele andere Telco's hebben de nare eigenschap eigen aangepaste Firmware's in dit soort toestellen te zetten.
Ik vermoed dan ook dat bij het ontwikkelen van de eigen firmware de besmetting al heeft plaatsgevonden. (hoe komt het er anders op...)

Ik heb persoonlijk sowieso al een hekel aan die aangepaste firmware's van telco's (goede reden voor een jailbrake al was het alleen maar om de originele firmware er op te krijgen), nu blijkt het dus ook nog eens een risico op besmetting te zijn.

Malarky @bas-r • 10 maart 2010 22:49

Zoiets gebeurd heel eenvoudig. De computers in de winkels van bijvoorbeeld Vodafone zouden besmet kunnen zijn. Klant vraagt om wat meer informatie bij de aankoop, toestel wordt aangesloten en autorun.inf staat er meteen op. Zo kan er meer dan 1 toestel besmet zijn.

_eXistenZ_ 10 maart 2010 02:29

Wie kan mij uitleggen waarom die crap in een autorun.exe file genesteld zou zitten, terwijl het platform op Linux gebaseerd is?

Hint: Linux runt geen .exe's (of het moet een binary zijn en hij moet als executable gemarkeerd staan)

Mentox @_eXistenZ_ • 10 maart 2010 07:30

Die autorun is voor Windows bedoeld. Wanneer je de telefoon aansluit wordt de setup gestart.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
HTC
Smartphones

@_eXistenZ_ • 10 maart 2010 09:17

Omdat de telefoon niks anders als een drager is, zie het als een virus in een .exe bestand op windows wat op dit ding is gezet met een leuke bestandsnaam zodat iemand die in windows een keer runt

Het is ook helemaal niet op Android gericht, ook niet op HTC maar op een windows computer

En dat kan er prima op komen, heb heel lang terug (echt heel lang, 7 a 8 jaar) ooit een virus gehad dat ELKE .exe op mijn pc wist te infecteren, als ik een telefoon/floppy/externe hdd/fotocamera aangekoppeld had met een .exe bestand er op dan wordt die dus geïnfecteerd, ongeacht het besturingssysteem

En wordt datgene een drager van het virus.

En laat nou vaak op telefoons/media spelers een .exe staan met drivers of een programma om spul over te zetten

nilski 9 maart 2010 18:48

Off Topic: Wat is er met Kaspersky aan de hand, al tijden geen online scanner meer..?

On Topic: Mobiele apparaten worden steeds aantrekkelijker om te hacken, reken maar dat er nog veel malware voor wordt ontwikkeld.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
HTC
Smartphones

@nilski • 9 maart 2010 22:46

Volgens mij snap je het bericht niet helemaal, want dit is dus malware die niet voor mobiele apparaten (ik neem aan dat je daar smartphones/mid's/tablets mee bedoelt) geschreven maar juist voor de ouderwetse PC

Framoes 9 maart 2010 18:41

Panda probeert de wereld klaar te stomen voor haar mobiele virusscanners. Persoonlijk vind ik het maar een vervelend bedrijf. Heb 1x een online scan gedaan (jong en onbezonnen) en Panda bleef maar spammen.

elleP 9 maart 2010 22:57

Doordat de autorun-bestanden automatisch worden uitgevoerd na het aansluiten van de HTC Magic op de pc, kan de malware zich meteen verspreiden.

Ik snap niet dat die functionaliteit nog steeds standaard aan staat, de beveiligingsrisicos wegen toch niet echt op tegen het 'gemak' (ik vind zelf die pop-ups van game-cd's en windows zelf echt alleen maar irritant, dus bij mij staat het al jaren uit)

SunnieNL

@elleP • 10 maart 2010 08:21

Sinds windows vista vraagt ie gewooon netjes wat je wil doen.
Het wordt aan de gebruiker overgelaten of het gestart wordt of niet en of hij het vinkje zet "doe het altijd maar starten"

michiel_hc 9 maart 2010 23:21

In windows 7 zit het autorun meganisme niet meer voor usb apparaten en is dus minder vatbaar voor dit soort dingen.
http://blogs.technet.com/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx

Al vind ik het heel raar dat zoiets kan voorkomen bij een groot bedrijf als vodafone ik vraag me echt af hoe dat dit er op is kunnen komen.

Keypunchie

Mobiele netwerken
Beveiliging

9 maart 2010 23:33

Laatste tijd duiken wel vaker dit soort berichten op, zoals bij een oplader (!) van Duracell:

http://blogs.zdnet.com/security/?p=5602&tag=wrapper;col1

Mijn theorie: Chinese hackers, die toegang hebben tot de produktie-faciliteiten van veel elektronica plaatsen deze erop, in de hoop zo een mooie aanvalsvector te hebben, nu besmetting via internet&spam moeilijker aan het worden is.

iceheart @Keypunchie • 10 maart 2010 14:43

en het mooiste is nog wel dat in 46 comments daar, waarin iedereen duracell afzeikt omdat ze een battery charger een datalijntje naar de computer geven, NIEMAND zich even herinnert dat USB standaard maar 100mA levert; voor de volle 500mA moet het apparaat eerst even met de PC communiceren.

en iedereen maar zeuren dat het zo erg is dat dat ding alle 4 lijntjes heeft (AFAIK mag je als je dat niet hebt overigens zoiezo het USB logo niet eens voeren...) zonder te weten waar ze het over hebben... zucht...

mvdejong 10 maart 2010 01:33

Al vind ik het heel raar dat zoiets kan voorkomen bij een groot bedrijf als vodafone ik vraag me echt af hoe dat dit er op is kunnen komen.

Er werd al verondersteld dat er een al besmette geheugenkaart in de telefoon was gebruikt. Een andere optie is natuurlijk dat dit een retour-exemplaar was, dat door de telefoon-winkel, ofwel Vodafoon zelf, niet afdoende was opgeschoond alvorens het naar een andere klant door te schuiven.

Overigens heeft zelfs MicroSoft last gehad van een partij Windows 3.x die in een productie-lijn in Azie was besmet met een virus. Je hebt natuurlijk maar 1 hacker nodig die het master-systeem van de productie besmet, of maar 1 interne medewerker die het voor geld, of de fun doet.

HoeZoWie 10 maart 2010 11:39

Bizar en misleidend verhaal vind ik dit, het verhaal suggereerd dat de infectie op een Android telefoon is, terwijl dat praktisch gezien, niet waar is, de 'gebruikte code' is pertinent geen infectie voor Android, maar juist MS Windows, bij verbinding van Android naar MS Windows!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (39)

Sorteer op:

Weergave: