Russische malware richt zich momenteel op gebruikers van Android-smartphones. Het gaat om gevaarlijke malware die in staat is om sms’jes te lezen, oproepen af te luisteren of gesprekken op te nemen met behulp van de microfoon van de smartphone.
Zo gaat de Russische malware te werk
De malware is afkomstig van de Turla-groep. Dat is een door de Russische staat gesteunde groep hackers die bekend staan om het gebruik van aangepaste malware om Europese en Amerikaanse systemen aan te vallen, voornamelijk voor spionagedoeleinden. Deze hackers hebben de malware in een ogenschijnlijk onschuldige app verstopt. Dat publiceerden de cybersecurity-onderzoekers van Lab52 hier op hun blog.
De malware verspreidt zich via een installatiebestand (APK) genaamd ‘Process Manager’. Als dit bestand eenmaal geïnstalleerd is op de smartphone, zal de malware het slachtoffer vragen om toestemming te geven voor een ââhele reeks Android-machtigingen. Het gaat om de volgende 18 machtigingen:
- Access coarse location
- Access fine location
- Access network state
- Access WiFi state
- Camera
- Foreground service
- Internet
- Modify audio settings
- Read call log
- Read contacts
- Read external storage
- Write external storage
- Read phone state
- Read SMS
- Receive boot completed
- Record audio
- Send SMS
- Wake log
Vervolgens ontvangt een externe server in Rusland alle informatie van de smartphone. Om te voorkomen dat het slachtoffer besluit de app te verwijderen, zorgt de malware ervoor dat het Process Manager-pictogram van het startscherm verdwijnt. Veel spyware staan hier bekend om en zorgen er zo voor dat de eigenaren van de telefoons de app vergeten. Tegelijkertijd installeert de malware stiekem een app genaamd Rozdhan uit de Play Store. Deze applicatie wordt gebruikt om geld te verdienen, en bevat een een referralsysteem dat misbruikt wordt door de malware. De gemaakte winst wordt doorgesluisd naar de criminelen.
Pas op
Vermoedelijk maakt de geïnfecteerde APK deel uit van een groter systeem. Installatiebestanden kun je dus beter niet installeren op je smartphone, als je er niet zeker van bent of deze gescand is op virussen. Uiteraard is controle op de machtigingen die een app vraagt te allen tijde aan te raden. Met de app Exodus Privacy is een app waarmee je te weten komt welke toestemmingen en trackers alle apps op je telefoon gebruiken om meer informatie te verkrijgen. Meer over deze app lees je hier. Daarnaast heeft Google een privacy-functie in Android 12 gebouwd, waarmee je aan de hand van privacyindicators op het scherm, kunt zien wanneer de camera of microfoon actief is op je telefoon. Daarnaast heeft Google schakelaars in de snelle instellingen van Android 12 geplaatst, om ervoor te zorgen dat de camera en microfoon niet werkt als je dat niet wilt. Meer over beide privacy-functies vind je hier. Draait jouw telefoon niet op Android 12? Dan is dit een prima alternatief.
Reacties
Inloggen of registreren
om een reactie achter te laten
Wordt je niet linksom besmet dan gebeurt het wel rechtsom. Vanwege de Huawei boycot haal ik sommige apps noodgedwongenbuiten de Playstore om. Ik gebruik een virusscanner en ik open geen zogenaamde lollige bijlagen in WA.
Raak ik besmet dan die ik een schone installatie.
Ten eerste zou ik aanraden om überhaupt niets buiten om de Playstore te installeren. Dus ook niet deze “Exodus”, hoe mooi het programma ook werkt. Exodus laat zien wat een willekeurig programma doet op je telefoon of tablet. Je kunt het ook gebruiken zonder het te installeren. Je gaat dan naar de website https://reports.exodus-privacy.eu.org. Je vult hier de naam van de App, van wie je wilt weten wat hij doet. Je krijgt netjes te zien welke trackers, permissies etc. gebruikt wordt…
Wat ik persoonlijk mis, is wat je er zelf kunt doen om die trackers uit te zetten.
Verder kun je als je wilt weten wanneer of welk programma op enig moment je camera, microfoon, locatie e.d. gebruikt, kunnen kijken naar Privacy Dashboard, verkrijgbaar in de Playstore. Dit geldt voor telefoons/tablets die nog GEEN Android 12 draaien, wat voor de meesten onder ons zal gelden…
Wat is het voordeel van Exodus tov. het standaard privacyoverzicht in mijn OnePlus?
Daar zie ik ook precies welke app mijn camera mag gebruiken tijdens gebruik van de app of op de achtergrond. ?
Edit: Ik zie dat Exodus voor het analyseren van trackers de app wel handig is, er bleken toch weer 4 FB trackers aanwezig te zijn. ?
Vervelender is dat de Exodus app helemaal niet meer voorkomt in de Play Store. Althans niet voor mijn S20+
Niet alles is te krijgen in de play store
Het beter totaal geen apk’s buiten de Google store te installeren. Zelfs apps in de store zelf moet je voorzichtig mee zijn.
F-Droid controleert net zoals APKMirror voordat iets online wordt gezet.
Neemt niet weg dat je altijd moet oppassen met wat je installeert, ook in de Play Store gaat het wel eens mis.
F-droid moet je sowieso mee uitkijken. Iedereen kan daar opgooien wat hij wil.
Ik raad sowieso de site www.virustotal.com aan als je gaat sideloaden. Ik scan alles voor ik het installeer
Hij is nog wel te installeren via F-Droid: https://f-droid.org/packages/org.eu.exodus_privacy.exodusprivacy/
Jammer dat er terloops in dit artikel verteld wordt hoe de zogenaamd onschuldige app heet en of deze in de play store staat. Ik installeer niks buiten de play store, maar wil wel weten hoe de te mijden app heet. Ik zou de naam van de app duidelijker vermelden, want nu lees je daar te makkelijk over heen. Je kan ook niet ontkennen dat de appnaam exact zegt wat ie doet: “process manager” beheert de processen op je smartphone, maar dan wel op de foute wijze.
Shogun, je bemerkingen kloppen, maar malware wordt helaas niet altijd opgemerkt. Ik verwijs daarbij naar eerdere berichten waaruit bleek dat populaire apps als malware aangemerkt waren, maar toch al redelijk vaak gedownload en geïnstalleerd werden.
Nog los van de prut in je ogen 😉 is je opmerking niet relevant meer zodra hij als malware is opgemerkt. Google doet zijn werk goed het gooit de app uit de playstore en zet de app uit op jouw smartphone.
Het probleem zit hem in sideloading of recent op poppende apps die nog niet als besmet zijn aangemerkt.
Ik vertrouw meestal pass apps als ze (erg) vaak zijn gedownload uit de playstore. De kans dat er dan nog geen malware is opgemerkt is bijzonder klein.
Wel is het me 1x gebeurd door een “gratis” gedownloade app hier op AW.
Ik moet m’n bril versterken of de prut uit m’n ogen wrijven, merk ik.
De naam staat in de derde alinea 🙂
Ik kan deze Exodus Privacy app helemaal niet in de Play Store vinden.
Enig idee wat er aan de hand kan zijn?
F-Droid is redelijk veilig, er vind voor het online zetten een controle plaats.
Maar er kan natuurliojk altijd iets door de bveiliging glippen, net zoals dat in de Play Store gebeurt.
Exodus linkt zelf naar F-Droid: https://exodus-privacy.eu.org/en/page/what/
En via F-droid is wel veilig? Is buiten app store om..
Blijkbaar voldoen ze niet volledig aan de eisen van de Play Store, ze zijn er wel mee bezig om dat op te lossen.
Hij is nog wel te installeren via F-Droid: https://f-droid.org/packages/org.eu.exodus_privacy.exodusprivacy/
Ah jammer, de app is niet meer beschikbaar in de Play Store.