Android malware installeert zichzelf automatisch
We hebben al vaker bericht over malware die schadelijk is voor jou en je Android-toestel, ook dat deze steeds vaker opduikt. Maar nu is voor het eerst drive-by-download-aanvallen gesignaleerd op smartphones en tablet, dat meldt security.nl. Bij deze aanvallen wordt er geprobeerd Android-toestellen te infecteren met een Trojaans paard en in tegenstelling tot vergelijkbare aanvallen op gewone computer (Windows en Mac) is er bij de Android-variant nog wel enige interactie noodzakelijk van de gebruiker.
Eerste melding
De eerste melding van dit soort malware werd gemaakt op Reddit waar een gebruiker aangaf dat er tijdens het bezoeken van een website, automatisch een bestand genaamd update.apk naar zijn toestel werd gedownload. Vervolgens kreeg hij de vraag of hij het wou installeren. De gebruiker in kwestie maakte gebruik van de mobiele virusscanner genaamd Lookout maar deze sloeg geen alarm. Het bedrijf achter de Lookout app heeft gelijk onderzoek gedaan en kwam tot de conclusie dat het om een Trojaans paard (ook wel Trojan genoemd) gaat.
Deze malware heeft wel één meewerkende factor nodig om de automatische installatie in gang te zetten namelijk, dat de gebruiker zijn telefoon heeft ingesteld om downloads vanaf “onbekende bronnen” toe te laten. Deze instelling staat standaard uit en blokkeert dan ook de installatie.
Onbekende bronnen toelaten
Om gelijk maar even te kijken of jouw smartphone het toelaat om downloads van onbekende bronnen toe te laten, leggen we je hier even uit hoe dat moet. De uitleg hieronder is bedoeld voor telefoons die de Nederlandse taal hanteren, is jouw toestel in het engels, tja dan moet je even vertalen.
1. Ga naar je homescreen
2. Druk op het menu knopje
3. Ga naar “Instellingen”
4. Kies voor “Toepassingen/Applicaties”
5. Kijk of het vinkje aan staat achter “Onbekende bronnen”, staat deze aan dan kun je ervoor kiezen deze uit te zetten.
Dit is één manier om het te controleren. Aangezien ik zelf met een ander Android-toestel werk, zal ik ook nog even een alternatieve route uitleggen:
1. Ga naar “Instellingen”
2. Ga naar “Beveiliging”
3. Kijk of het vinkje aan staat achter “Onbekende bronnen”, staat deze aan dan kun je ervoor kiezen deze uit te zetten.
Hoe zit het met de websites?
De malware verspreidt zich via gehackte websites, deze websites bevatten een iFrame dat een verwijzing bevat naar de site gaoanalitics.info. Bezoek je deze website vanaf je PC (of Mac) dan gebeurt er helemaal niks maar bezoek je de website met een Android-toestel dan wordt er een bestand gedownload vanaf het domein androidonlinefix.info.
De Trojan zelf heeft de naam NotCompatible en fungeert als een eenvoudige TCP relay/proxy, oftewel de malware zelf veroorzaakt geen directe schade aan het toestel maar kan wel worden gebruikt om illegaal toegang tot private netwerken te verkrijgen.
