Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties

Bepaalde gehackte websites verspreiden malware-applicaties aan Android-toestellen. De drive-by-downloads maskeren zichzelf als updates. Het is niet bekend wat de malware exact doet, maar de app wil wel volledige internettoegang.

Het is de eerste keer dat er via gehackte websites wordt gepoogd om malware voor Android te verspreiden, meldt het beveiligingsbedrijf My Lookout. De malware, genaamd NotCompatible, wordt verspreid via een iframe op gehackte websites. Wanneer een Android-webbrowser op die website komt, wordt er via de iframe contact gemaakt met een kwaadaardige website die een applicatie genaamd update.apk ter download aanbiedt.

De app kan niet worden geïnstalleerd als de optie om te sideloaden niet aangevinkt is, noch wordt de download aangeboden als de user-agent van de browser geen vermelding naar Android bevat: pc's worden dus niet benaderd. Wat die apk precies doet is niet bekend, maar de app vraagt om volledige toegang tot internet, wil de details van het verbonden netwerk weten en wil automatisch opstarten bij het booten.

Mogelijk wil de app toegang krijgen tot privénetwerken en het toestel als proxy gebruiken. Het beveiligingsbedrijf claimt dat hun software voor Android de drive-by-download zou verhinderen, maar de oorspronkelijke melder van het probleem, een 'Redditor', zegt dat dat niet het geval is.

Android NoCompatible-malware die een drive-by-download poogtAndroid NoCompatible-malware die een drive-by-download poogt

Gerelateerde content

Alle gerelateerde content (21)
Moderatie-faq Wijzig weergave

Reacties (57)

Wat ik nog even mis:

Als de download compleet is, moet de gebruiker dan nog iets los doen om te installeren (toestemming geven), of gebeurt dat volautomatisch?
1) Je moet bevestigen dat je update.apk wil downloaden.
2) Na het downloaden moet je deze nog eens handmatig openen.
3) Je moet de optie 'onbekende bronnen' hebben aangevinkt zodat je applicaties kan installeren die niet afkomstig zijn van de market. Zoniet krijg je hier een melding van.
4) Daarna krijg je alle permissies te zien die de applicatie vraagt. Vervolgens bevestig je of je de applicatie wil installeren of niet. (Zie screenshot 1 van het artikel.)

Dat zijn toch 4 stappen die de gebruiker zelf moet ondernemen.
Ah: de standaard Windows methode. Een normale (geen Tweaker!) gebruiker leest de bevestiging niet eens en klikt direct door.

Verder vind ik "Full network access" nu ook niet echt schokkend als ik een normale huis tuin en keuken gebruiker was, dit zal je kunnen zien als "gewoon internet".

Ik ben bang dat Android in de toekomst serieus rekening moet gaan houden met malware en andere ongein.
Als normale gebruiker hoor je dan ook het vinkje 'onbekende bronnen' niet aan te hebben staan. Ook als je iets buitenom de Google Play wilt installeren kun je toch na het installeren van die app het vinkje terug goed zetten?
Er zijn genoeg gebruikers die gewoon 'dom' op elke oké knop drukken zonder te lezen wat ze installeren.

Als mijn telefoon Update-1.apk, Update-2.apk enz. gaat installeren gaat bij mij toch wel een alarmbelletje rinkelen.

OT:
Dat 'Full network access' vind ik wel erg vaag op m'n android toestel, een app als 'NU.nl' haalt info binnen via het mobiele netwerk maar doet niks met de GSM (SMS/MMS/Telefonie) toch staat er 'Full network access' Daar mogen ze van mij wel wat extra info bij geven (enkel data verbinding of bijvoorbeeld ook sms toegang)
Het gebruikt geen exploit om te installen, je krijgt een schermpje " hey wil je update.apk downloaden " en als je dan download en installeerd heb je pas een probleem
Een paar simpele trucs voorkomen de meeste problemen.

Setting => Applications => Unknown sources => UITvinken
User agent van je browser op DESKTOP zetten
Internet alleen aanzetten als je het ECHT nodig hebt
Geen apps installeren die onnodige permissies hebben (bijv. Phone ID of Contact list voor een tekenprogramma) of als je een geroote Android hebt, met LBE guard deze permissies UITzetten.
Apps die niet meer zijn dan een browservervanger zoals bijv. nu.nl app, niet gebruiken maar gewoon via de browser benaderen. Als je de UA op desktop zet zie je gewoon de volledige site.
je user-agent op desktop zetten is echt onhandig. Dan weten sites niet dat je mobiel bent, dus je krijgt niet de kleine graphics, aangepaste widgets, of soms zelfs aangepaste content. Dan kan je net zo goed geen user-agent meer sturen.

Internet uitzetten als je het niet nodig hebt? waarom heb je dan een smartphone gekocht?

Unknown sources staat standaard uit, maw, als dat aanstaat heb je dat waarschijnlijk met een goeie reden aangezet (bv om een preview versie van Spotify te bekijken)

Je moet gewoon geen downloads accepteren waarvan je niet weet wat ze zijn, laat staan installeren. Alle suggesties die jij geeft maken in mijn ogen je device nagenoeg onbruikbaar.
Persoonlijk vind ik het rot als mijn mobiel naar een mobiele versie geforceerd wordt die doorsnee ook nog minder functionaliteit heeft.

Om plaatjes ed weg te laten is CSS prima (media="handheld")
Het is dan aan de browser om er wat mee te doen.
telefoon thuislaten, in een plastic zakje
blijft de restwaarde bij verkoop hoog

nee, zonder dollen
internet altijd aan is een keuze, ik en vele anderen kiezen ervoor om het voorhanden te hebben

vaak zijn apps inderdaad grote stroomvreters, maar soms hebben ze wel een meerwaarde.
appatalk bv, leest prettiger door topics dan de webpagina te openen ( = kermis )
de rtl365app op de ipad is geweldig, beter dan de rtlnieuws pagina in de browser

use your tools wisely, use 'm good
Ik mis hier helaas nog best veel info.. Ik zelf heb gister avond een update melding gekregen maar die even genegeerd. Vanochtend toch geupdate via settings>about phone>Software updates>Check now. Daar kwam die tevoorschijn en die heb ik geinstalleerd. Nou ben ik niet zeer ervaren met android dus weet ik niet wat de risico's zijn.. Ben je sowiezo veilig als "unknown sources" uitgeschakkeld was? en hoe kan je terugzien of je de betreffende update geinstalleerd is, of dat je een goede update hebt gedaan? En mocht de malware geinstalleerd zijn, wat zijn dan nodige stappen om te ondernemen?
Het gaat hier om een drive-by-download die zich als update maskeert (update.apk) bij het bezoeken van gehackte websites. Als je niets geīnstalleerd hebt, is er ook niets aan de hand.
maar als je wel een update geinstalleerd hebt, hoe heb je de optie te zien of deze update goed of slecht was?
De updates zo komen alleen via die opties van Software updates => check now
Die optie is altijd veilig
Nu weet ik dat de gemiddelde persoon niet heel veel verstand heeft van dit soort dingen, maar als een random website je update.apk aanbiedt, moet er toch een lampje gaan branden.
Bij mensen die er geen verstand van hebben staat het installeren van apk's ook standaard uit. Voor hun is er dus geen gevaar.
Als je dan toch op de update klikt geeft android een melding dat die optie uitstaat en of je hem aan wilt zetten, de meeste mensen klikken dan alsnog op ja.
Totdat een handig neefje het heeft aangezet om die ene app erop te zetten. Zo heeft mijn 'handige' zwager de inlog account van mijn schoonouders ook in de admin group gezet zodat ze zelf software kunnen installeren op hun Windows machine...
Totdat een handig neefje het heeft aangezet om die ene app erop te zetten. Zo heeft mijn 'handige' zwager de inlog account van mijn schoonouders ook in de admin group gezet zodat ze zelf software kunnen installeren op hun Windows machine...
Wat is daar mis mee ?

Of je zou de boel beter moeten voorlichten.
Als je begaan bent met het wel en wee van die machine, moet je de regelmatige gebruiker uitleggen wat hij/zij moet doen

omdat windows via UAC vaak om toestemming vraagt, is het doel voorbij geschoten.
elke simpele ingreep vereist adminrechten, iets wat overdreven is.
Een dvdbrandprogramma, of zelfs Picassa wil (even) admin rechten

Zou je niet denken dat sommige gebruikers die minder behebt zijn in pcgebruik daar ziek van worden ?
dan is de oplossing "uit" makkelijker dan elke godganse keer op accept en evt pasword invoeren te drukken.

Veiliger .. misschien, maar het gebeurt toch wel, met of zonder adminrechten
anders moet je ervoor zorgen dat de pc in kwestie compleet is, en dat ze niets meer hoeven te installeren
Een DVD-brandprogramma of Pikasa dat adminrechten nodig heeft bij normaal gebruik, is slordig geprogrammeerd. Dat kan je Windows moeilijk verwijten.
Wat is daar mis mee? Ten eerste installeren deze mensen zelf geen software, daar bellen ze mij altijd voor. Dus ze hebben die rechten ook niet nodig - dus het is logisch om die rechten voor veiligheid af te nemen. Ik bescherm onwetende gebruikers tegen zichzelf. Op mijn Citrix XenApp servers doe ik precies hetzelfde, anders is het hek van de dam. Gebruikers zonder kennis van zaken, klikken en installeren en graag op los, niet altijd wetende of de software wel "veilig" is of niet. En de enige manier om dit te doen is om rechten af te nemen. Trouwens, admins hebben net zoveel last van die UAC.
Het wordt steeds linker met mobile devices! Of je nu android of IOS hebt, anti -virus/malware zal in de toekomst zeker zijn nut gaan dienen!

Waar je zoveel vertrouwen in stopt, moet je ook ZELF beschermen vind ik. In ieder geval je best doen om dit te behalen.

Gauw een patch voor android releasen om dit te fixen!!
Dit staat helemaal los van Android eigelijk, dit kan op elk OS. Hoevaak heb ik een download voor me neus kreeg in Windows met 'Codec_installer.exe' of iets dergelijks. Dit kun je niet patchen.
Niet helemaal waar. Dit kan op elk OS waar je zelf kan bepalen wat je installeert. Bij iOS, zonder jailbreak natuurlijk, kan het simpelweg niet.
Niet helemaal waar. Dit kan op elk OS waar je zelf kan bepalen wat je installeert. Bij iOS, zonder jailbreak natuurlijk, kan het simpelweg niet.
Onder android kan dit ook niet, tenzij je side-loading aan hebt staan, iets wat standaard uit staat. Default zit Android net zo dichtgetimmerd als iOS.
Klein verschil is dat side-loading bij Android een user-setting is. Als je het uit hebt staan krijg je zelfs een melding hoe je het aan kan zetten.

Als je een site 'bewust' verkeerd weergeeft en de gebruiker zegt 'download nu de update om deze site goed weer te geven en de gratis xxx filmpjes te bekijken, dan zal de argeloze gebruiker wellicht 'OK, ik zal wel een update nodig hebben voor deze site, laat ik die maar downloaden'. Als er vervolgens staat 'side loaden staat uit, maar je kunt dit zo aanzetten', dan doe de argeloze+ gebruiker dat ook.

Bij iOS kan dit alleen met een jailbreacked telefoon, is toch een extra stap.

Persoonlijk vind ik de design keuze van Android beter (keuze bij gebruiker laten), maar het design van iOS op dit vlak is veiliger.
Elk OS?

Vanwege het principe van "alles via de App-store" is iOS in principe immuun voor deze attack vector.

Wil niet zeggen dat het immuun is voor malware, maar op deze manier besmetten gaat niet werken.
True, maar op elk OS kun je ongewenst een 'Download venster' voor je neus krijgen. Dat je dit niet mag installeren is een ander verhaal.
Op Windows Phone kun je niet spontaan vanuit de browser een install opstarten dus kan dat niet zo werken.
Je hebt daar echt de (gecontroleerde) marketplace nodig

[Reactie gewijzigd door 80466 op 3 mei 2012 13:20]

Never say never..
Om wat te fixen? Het betreft geen lek maar een (gewenste) optionele feature. De malware kan alleen geīnstalleerd worden als de gebruiker dat goedkeurt.

Wellicht dat de Android browsermakers wel een waarschuwing kunnen toevoegen bij dit soort links.
Wat moet die patch dan fixen? Het enige wat gedaan kan worden om dit te voorkomen is zorgen dat je geen apps meer buiten de Play Store om kan installeren.
En dat gaan gebruikers niet zo leuk vinden, en bedrijven met hun eigen App Store(Amazon) al helemaal niet. De meeste gebruikers zitten niet te wachten op dat soort protectie. Die genieten van de openheid van Android en nemen zelf de verantwoordelijkheid om te bepalen of app XXX geīnstalleerd mag worden.

Als ik een nieuwe versie van een vriend wil testen die nog niet uitgebracht is kan dat zonder problemen. Als ik een update van een app uit breng om een fix voor een bug van gebruiker X wil uitbrengen kan ik eerst die gebruiker de app laten testen om te zien of het bij hem de fout oplost. Als de fout daarmee is opgelost kan ik de update uitbrengen.

Ik vind dat gebruikers zelf de verantwoordelijkheid moeten kunnen dragen als ze die optie om buiten de Play Store om te installeren aan zetten. Kunnen ze dat niet dan moeten ze of die optie niet aan zetten, of een iPhone of Windows Phone kopen.
Je kan het dus niet installeren als je de optie uit hebt staan voor apps buiten de market om. Een beetje non-nieuws dit om een beveiligingspakket te slijten.

Edit
En ik gebruik Dolpin HD om zich aan te melden als reguliere browser. Vaak missen mobiele sites bepaalde functionaliteiten. Een 4,3" scherm zoals de SGS2 is groot zat om de normale pagina te bekijken.

[Reactie gewijzigd door Seņor Sjon op 3 mei 2012 13:03]

@Sjabeejdandn:
Normaal kan je de malware niet eens installeren als je "Unknown sources" niet hebt aangevinkt dus je zit wel veilig lijkt me :p
dit is dus geen bedrijging voor 90% van de android gebruikers. voor de ander 5% die toch al illegale games op hen android hebben verdienen het om dit te krijgen >:P en de andere 5% zijn toch developers,flashers ect. die snappen wel dat er iets niet klopt :P
Deze morgen een update op mn Desire HD ontvangen voor ik dacht "HTC clock" en deze ook geinstalleerd.
Er stond in de balk bovenaan het scherm een 'cirkeltje met een schuin streepje'.
Herinner me niet dit icoon al gezien te hebben.
Nu vindt ik niks terug hierover bij 'Updates' in mijn toestel.
Mijn toestel laat wel updates toe van buiten de Market.
Iemand enig idee of deze update iets te maken heeft met een trojan?
geen zorgen.als jij die update geen toestemming hoefde te geven bij het installeren,dan is er niks aan de hand en is het een zoortgelijke update zo als die van android market naar play market update.

ieder android toestel fabriekant kan updates pushen naar hun toestellen,zonder toesteming.
zoiets installeer je toch ook gewoon niet?
je moet altijd even toestemming geven, dan weiger je toch gewoon.

oke, het is erg dat dit gebeurt. Maar bij Windows gebeurt dit gewoon dagelijks, dus of dit voorpaginanieuws is?
De publieke aanname is doorgaans: *nix based OS == altijd veilig. Toch niet, zo blijkt nu. Het feit dat Windows niet alleenheerser (meer) is in deze, maakt het inderdaad nieuwswaardig.
Het gebruikte OS is zo veilig als de gebruiker hem gebruikt. Als ik mijn ouders achter een *nix machine zet, dan zal die even snel een virus (theoretisch) oplopen als een windows machine.

Pas als mensen snappen wat ze nu aan het doen zijn, welke mogelijkheden daarbij op kunnen treden en welke mogelijkheden 'ongebruikelijk' zijn, dan pas worden OS-en 'echt' veilig.

Voorbeeld:
'open browser'
- 'ga naar hm.nl', met volgende resultaten/'paden':
- krijg webpagina te zien
- krijg webpagina te zien met een popup met een vermelding van een actie over een artiekel
- webpagina laad niet (F5)
- webpagina laad wel, krijg melding of ik iets wil updaten

De meeste non-tweakers zullen denken 'och, zal allemaal wel kunnen kloppen' en zullen die 'update' gewoon installeren. Zonder dat ze denken, "ja, maar dat is raar, dit is niet mijn expected result."

[Reactie gewijzigd door daan.timmer op 3 mei 2012 13:13]

Wel mooi dat dit meerwaarde krijgt, terecht overigens, terwijl dit in het OSX topic zware onzin werd gevonden etc. etc. :) De gebruiker is inderdaad het probleem en geen enkel systeem is tegen deze acties beschermd. Wellicht dat het wel kan, bijv. op de manier waar OSX mee bezig is, alles sandboxed en met ongelooflijk beperkte mogelijkheden voor een programma, maar dan nog is een lek mogelijk en de vraag is of die mate van beperking wenselijk is.
Ben ik helemaal met je eens. Maar Windows (bijvoorbeeld) stond al jaren bekend als een onveilig OS, omdat er zoveel virussen en malware gevonden werd. Nu was Windows natuurlijk ook niet erg veilig, maar het ontbreken van virussen op andere OS-sen, maakte dat OS natuurlijk niet meteen veilig. Dat was mijn punt.
Om nu te stellen dat Windows natuurlijk niet erg veilig is, vind ik een beetje vreemd nadat je het eens bent met de stelling dat een OS zo veilig is als de gebruiker hem gebruikt.
Het ligt er echt aan hoe je de software gebruikt. Je moet er gewoon voor zorgen dat je OS en applicaties up to date zijn en niet alles openen. Dat geldt niet alleen voor Windows maar net zo goed als alle overige OS-en.
Het één sluit het ander niet uit en daarbij zei ik dat Windows niet erg veilig WAS. Gebruikers hadden standaard admin rechten en het gebruik van een password werd niet echt gepromoot. En dan werk je het wel in de hand vind ik.

Ik was het met de stelling eens omdat een gebruiker die nadenkt bij zijn acties een veel kleiner risisco loopt op virussen. Ikzelf heb nooit een virus gehad, maar ook nooit een virusscanner gedraaid op mijn Windows bakken.

Met een auto is het precies hetzelfde. Het veilig rijden zit 'm vooral in de rijstijl van de chauffeur, maar daarnaast is er wel degelijk verschil tussen een Volvo V70 of een Fiat Panda als er wat fout gaat.

Wat er verder "ongewenst" is aan mijn reactie, snap ik niet helemaal trouwens.

[Reactie gewijzigd door Steenvoorde op 3 mei 2012 14:29]

Dat geloof ik niet zo. De manier waarop iOS in elkaar zit is behoorlijk veilig: Strenge restricties voor Apps (Sandbox) + alle Apps worden gecontroleerd. Op die manier kan een platform erg veilig worden neergezet - in combinatie met het automatisch updaten om eventuele lekken toch te dichten.
Dit kost natuurlijk wel vrijheid, maar je krijgt er wel echt wat voor terug.
Alle Android malware werkt hetzelfde, en geen van allen maakt gebruik van een veiligheidslek.
Bij elke app die geīnstalleerd wordt, wordt eerst aan de gebruiker de permissies getoont en de vraag of hij/zij deze app wilt installeren. Als je vervolgens die app installeert(die je helemaal niet wilde installeren) dan krijgt de app bepaalde permissies die jij die app hebt gegeven.

Veel Windows malware werkt hetzelfde, bijvoorbeeld die geweldige register-fouten scanners, malware verwijderaars en andere onzin die vanuit je browser precies weet hoeveel malware jij hebt.

Maar er is ook malware bij Windows waarbij de gebruiker bijvoorbeeld denkt dat hij een plaatje/powerpoint/document opent, terwijl dat in feite een programma wordt gestart. Die malware is binnen Android niet mogelijk, omdat het dan opvalt dat er een programma wordt geīnstalleerd.
Dat laatste hoeft niet het geval te zijn, als je gebruikt maakt van een exploit.
Het is gewoon zo dat Android veel gebruikers heeft die niet weet wat ze doen waardoor het niet de moeite is om een echte exploit te schrijven als het even makkelijk door de gebruiker zelf geinstalleerd kan worden.

Overigens een actieve virusscanner zal wel degelijk optreden als die app in het plaatje ineens vreemde dingen gaat doen. Vooral als er admin rechten nodig zijn. Die heb je normaal niet nodig voor een plaatje te bekijken.

De vraag is hoeveel Android gebruikers weten dat er geen updates via APK worden aangeboden? Ik denk niet veel, ik denk zelfs dat een groot deel niet eens weet hoe ze Android moeten updaten.

Een campagne van Google of de telecom providers om de gebruiker een beetje te informeren over Android zou niet slecht zijn.
Bij Windows werkt dit ook al jaren zo... Je krijgt een popup en de gebruiker moet ja/nee zeggen. De meeste gebruikers kiezen dan Ja.... dus dat zullen ze bij Android en elk ander OS waarschijnlijk ook doen.
Android is eigenlijk eerst een embedded systeem en dan pas een *nix based OS. Heeft er dus niet heel erg veel mee te maken. Merk bovendien op dat de gebruiker zelf de exploit moet installeren, wat erop wijst dat het OS gewoon veilig is.

Merk op dat dit bij Windows tegenwoordig vaak ook het geval is.
Linux zonder (BSD- of) GNU-omgeving is niet echt *nix meer hoor, hooguit is de ondersteuning voor gedifferencieerd rechtenbeheer er, maar dan nog moeten filesystem, userland en de GUI-tools daaromheen dat goed implementeren.

Nog beter als dat vinkje is het instellen van een aparte repository.
Standaard is dan die van Google Play ingevuld. Een bedrijf kan dan de bedrijfsrepository daar instellen. En als dat niet genoeg is en je andere apps wilt toevoegen moet je extra repositories instellen. Dat is in ieder geval een erg bewuste handeling, meer als dat vinkje.
Ook zou je kunnen invullen dat een bedrijf dat Android-telefoons uitrolt ook het toevoegen van repositories kan blokkeren.

[Reactie gewijzigd door BeosBeing op 3 mei 2012 15:33]

De publieke aanname is doorgaans: *nix based OS == altijd veilig. Toch niet, zo blijkt nu.
Dit staat los van elkaar, ten eerste is het maar de vraag of er inderdaad een publieke aanname is dat *nix based altijd veilig is en ten tweede heeft dit bericht daar niets mee te maken omdat dit een gebruikersprobleem is en niets met de gebruikte software te maken heeft.
Het is voorpaginanieuws omdat het nu Android betreft.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True