Drive-by malware duikt op voor Android

Het veelgebruikte Android wordt door cybercriminelen nu ook 'bediend' met zogeheten drive-by malware. Bezoeken van een besmette site levert een malafide app op.

De kwaadaardige code wordt automatisch gedownload door de smartphone van het slachtoffer. Vooralsnog heeft de malware geen exploit voor Android aan boord: het maakt dus geen gebruik van een gat in dat besturingssysteem. Hierdoor is de aangeboden 'app' na de auto-download niet direct actief op het toestel.

Normaliter is drive-by malware ook voorzien van middelen om beveiligingsgaten in programma's of besturingssystemen te benutten zodat het zichzelf meteen kan uitvoeren. Android heeft wel dergelijke gaten, die door gebruikers zijn te benutten om hun toestel te rooten (ook wel jailbreaken genoemd). Die gaten worden gedicht met updates, maar van Android zijn nog veel oudere versies in gebruik: 2.2 en 2.3.3 zijn nog altijd goed voor bijna 85 procent van alle Android-apparaten.

Zogenaamde security-update
De nu ontdekte allereerste drive-by malware voor Android vereist dus nog wel een handeling door de gebruiker van het toestel. De binnengekomen download (Update.apk) doet zich voor als een security-update voor Android en schotelt de gebruiker een venster voor om het te installeren.

Als de gebruiker hier intrapt, wordt de malware actief. Hiervoor moet wel de Android-optie van sideloading aanstaan; het toestaan van apps uit andere bronnen dan de officiŽle app-winkel (Play, voorheen Android Market) van Google.

De gebruiker moet nog wel op 'ok' klikken:



De dan actieve Trojan blijkt een relatief eenvoudige TCP-relay, ofwel proxy, te zijn. Het richt in eerste instantie geen schade aan, blogt ontdekker Lookout Mobile Security. Die beveiligingsleverancier heeft zijn eigen product al voorzien van bescherming tegen deze malware, die het NotCompatible heeft gedoopt. Het bedrijf waarschuwt wel dat cybercriminelen via deze Trojan toegang kunnen krijgen tot interne netwerken waar een Android-toestel dan mee is verbonden.

Android-specifiek
NotCompatible wordt verspreid via reguliere websites, zoals die van een verdelgingsbedrijf. Dergelijke sites zijn middels een hack voorzien van een verborgen iframe onderaan elke pagina. Het bezoeken van zo'n besmette website vanaf een pc, Mac, iPhone of ander niet-Android systeem levert geen reactie op van de daar zich schuil houdende malware. Volgens Lookout zijn er nu vele websites die besmet zijn met deze eerste drive-by malware voor Android.

De malware doet zich voor als security-update: