Onlangs heeft het mobiele onderzoeksteam van McAfee een verontrustend nieuw type mobiele malware ontdekt dat erop gericht is ezelsbruggetjes (ook wel "seed phrases" genoemd) te stelen door afbeeldingen op uw apparaat te scannen. Zo'n ezelsbruggetje is een zin van 12 woorden die dient om toegang tot uw cryptocurrency-portefeuilles te herstellen; een eenvoudiger alternatief voor de complexe "privésleutel".
### Vermomming van de Malware
De Android-malware vermomt zich als verschillende betrouwbare applicaties, zoals banken, overheidsdiensten, tv-streamingdiensten en hulpprogramma's. Eenmaal geïnstalleerd, verzamelen deze nep-apps heimelijk uw sms-berichten, contacten en afbeeldingen op uw telefoon en sturen deze door naar externe servers. De apps misleiden gebruikers met eindeloze laadschermen, onverwachte omleidingen of korte lege schermen om hun ware activiteiten te verdoezelen.
### Identificatie van de Bedreiging
Sinds januari 2024 heeft McAfee meer dan 280 van zulke kwaadaardige apps geïdentificeerd die zich richten op gebruikers in Korea. Gelukkig detecteren de producten van McAfee Mobile Security deze bedreiging, die bekendstaat als "SpyAgent", en helpen ze uw apparaat te beschermen tegen deze insidieuze technieken.
### Verspreiding van de Malware
De malware wordt voornamelijk verspreid via slimme phishing-campagnes die gebruikmaken van sms-berichten of directe berichten op sociale media. Aanvallers doen zich voor als vertrouwde organisaties of personen om slachtoffers te verleiden op schadelijke links te klikken. Deze links leiden naar nepwebsites die legitieme sites imiteren, en vragen de gebruikers vaak om een app te downloaden. Hierdoor wordt de malware geïnstalleerd op het apparaat.
### De Installatie en Toestemmingen
Wanneer een gebruiker op de downloadlink klikt, wordt hij gevraagd om een APK-bestand (Android Package Kit) te downloaden. Dit bestand ziet eruit alsof het een legitieme app bevat, maar is in werkelijkheid schadelijke software. Tijdens de installatie vraagt de app om toestemming voor toegang tot gevoelige informatie zoals sms-berichten, contacten, opslagruimte en om op de achtergrond te draaien. Deze machtigingen lijken noodzakelijk voor de werking van de app, maar worden in werkelijkheid gebruikt om de privacy en veiligheid van de gebruiker in gevaar te brengen.
### Gegevensdiefstal en Exfiltratie
Zodra de app is geïnstalleerd en gestart, begint deze met het stelen van gevoelige informatie van de gebruiker en stuurt deze naar een externe server die door de aanvallers wordt beheerd. De specifieke gegevens die de malware verzamelt, omvatten:
- **Contacten:** De volledige contactenlijst van de gebruiker wordt opgehaald en kan worden gebruikt voor verdere misleidende praktijken of om de malware verder te verspreiden.
- **SMS-berichten:** Alle inkomende sms-berichten worden geregistreerd en verzonden, inclusief privécodes voor tweefactorauthenticatie en andere belangrijke informatie.
- **Foto's:** Alle afbeeldingen die op het apparaat zijn opgeslagen, worden geüpload naar de server van de aanvallers, waaronder persoonlijke en gevoelige foto's.
- **Apparaatinformatie:** Details over het apparaat zoals de versie van het besturingssysteem en telefoonnummers worden verzameld, wat de aanvallers helpt om hun kwaadaardige activiteiten effectiever te maken.
### Command and Control (C2) Functionaliteit
De malware fungeert als een agent die instructies van de externe server kan ontvangen en uitvoeren. Enkele van deze opdrachten omvatten:
- **'ack_contact':** Bevestigingssignaal dat de contactenlijst is ontvangen.
- **'ack_sms':** Bevestigingssignaal dat sms-berichten zijn ontvangen.
- **'ack_image':** Bevestigingssignaal dat de afbeeldingen zijn ontvangen.
- **'sound_mode_update':** Wijzigt de geluidsinstellingen van het apparaat.
- **'send_sms':** Laat de malware sms-berichten vanaf het apparaat verzenden, mogelijk gebruikt om phishing-sms'jes te verspreiden.
### Onveiligheid van Command and Control Servers
Tijdens het onderzoek ontdekten beveiligingsonderzoekers van McAfee dat veel van de C2-servers zwakke beveiligingsconfiguraties hadden. Dit stelde onbevoegden in staat om op specifieke indexpagina's en bestanden te kijken zonder inloggegevens te hoeven invullen. Deze verkeerd geconfigureerde servers toonden de interne componenten van de operatie en onthulden tevens gevoelige persoonlijke gegevens van slachtoffers, die onbedoeld openbaar toegankelijk waren geworden.
In de hoofdmap van de server werden verschillende mappen gevonden, elk toegewijd aan een ander deel van de operatie, zoals het nabootsen van bankinstellingen of postdiensten. De map 'uploads' bevatte afzonderlijke mappen met foto's van de slachtoffers, wat de ernst van het datalek en de omvang van de informatie die de aanvallers konden bemachtigen benadrukt.
### Algemene Voorzorgsmaatregelen
McAfee adviseert gebruikers altijd waakzaam te zijn en de authenticiteit van berichten of links te controleren voordat erop wordt geklikt. Het is essentieel om verdachte apps direct te verwijderen en regelmatig beveiligingssoftware bij te werken om dergelijke bedreigingen tegen te gaan.
Door William
Aanbevolen reactie
Doe je mee?
Je kunt nu een bericht plaatsen en je later registeren. Als je al een account hebt, kun je je hier aanmelden.
Note: Your post will require moderator approval before it will be visible.