Android-malware jaagt beller op kosten

KasperSk* heeft een IRC-bot ontdekt die het op Android-smartphones heeft gemunt. Toestellen die met de malware besmet worden, sturen ongemerkt sms’jes naar dure telefoonnummers.

Hoe de malware zich verspreidt is nog niet duidelijk, schrijft onderzoeker Denis van KasperSk*. Wel is bekend wat het doet en hoe je kunt zien of je besmet bent. Zodra het bestandje (iets meer dan 5 MB groot) geďnstalleerd is, verschijnt er een icoontje met MADDEN NFL 12. Omdat dit een vrij populaire game is, wekt dat misschien – helaas – nog niet meteen achterdocht op.

De trojan (want dat is het) installeert een aantal dingen: een root exploit, een SMS Trojan en een IRC bot. IRC staat voor Internet Relay Chat, oftwel 'kletsen op afstand via internet'. Dat gebeurt via speciale IRC-kanalen – kanalen die ook gebruikt kunnen worden om commando’s door te geven aan de besmette smartphone. Hierdoor kan de aanvaller in principe de volledige controle over het toestel krijgen.

Dure sms'jes

De SMS Trojan stuurt dure sms’jes naar zogenaamde premiumnummers. Daar merk je niets van, omdat retourberichten van die nummers afgevangen worden en dus niet op de telefoon zichtbaar worden. Pas als de rekening arriveert, merk je dat je de sigaar bent.

In het overzicht op de site van KasperSk* staat een lijst met landen en bijbehorende premium-nummers die in verband zijn gebracht met deze trojan. Nederland staat daar (nog) niet tussen, maar België bijvoorbeeld wel.

Controle kwijt

Volgens KasperSk* is de ontdekking van deze malware erg interessant. “Niet alleen is het de allereerste Android IRC-bot die we tegenkomen, hij is ook nog eens gekoppeld aan een root exploit en een SMS Trojan, die allemaal naadloos samenwerken. Daardoor kan de aanvaller het toestel compleet overnemen en er mee doen wat hij wil.”