Mandrake Malware

Heb je een Android Telefoon?  En bankier je bij de ABN Amro, lees dan even verder…

Wat?

De security experts van Bitdefender hebben een nieuwe vorm van spionage software gevonden in de Google Play Store. Het betreft een uiterst complex spionage platform welke op persoonsniveau aanvallen kan uitvoeren. Het target specficieke landen waaronder Nederland, specifiek, ABN Amro MobielBankieren. De spionage software beperkt zich hier uiteraard niet toe, PayPal, CommSec, Lunoor, Amazon, Gmail accounts, verschillende Poolse en Duitse bankapplicaties.

Hoe?

De malware werkt in 3 stappen, dit om de beveiliging van de Play Store to misleiden. De eerste stap is de ‘dropper’, een onschuldige applicatie, zonder malware daarna komt de ‘loader’ die na een tijdje gebruik de eindgebruiker probeert te misleiden met een vraag “wilt u de premium versie van deze software laden?” dit is het moment dat de malware actief benaderd kan worden. De laatste en 3^de stap is het uitvoeren van de ‘Core’ dit gebeurt als het slachtoffer interessant genoeg is. De malware kan ook kiezen om zichzelf op basis van verschillende factoren zichzelf te ontmantelen, voorbeelden hiervan zijn, telefoons zonder simkaart, staten waar het inkomen erg laag is, Afrikaanse landen, Rusland en veel landen waar Arabisch de voertaal is. Deze maatregel is door de maker(s) getroffen om de hoeveelheid geinfecteerde apparaten te beperken en zo langer onder de radar te blijven.

Opties?

1. SMS berichten manipuleren, doorsturen naar een andere server, doorsturen naar een andere telefoon, berichten verbergen, informatie per sms versturen naar de aanvaller
2. Telefoongesprekken doorsturen naar een server, volume van gespreken verlagen, iemand bellen, de contacten doorsturen
3. Geinstalleerde applicatie namen doorsturen, extra componenten installeren, applicaties installeren, applicaties deinstalleren
4. Notificaties lezen, verstoppen, doorsturen
5. Apparaat details achterhalen, versie, batterij niveau, model, land, provider
6. GPS tracken, login diefstal van Facebook, ebanking door social engenering en javascript injecties
7. Resetten van je toestel inclusief alle data en sporen van de malware

Bron?

Heb je een van de volgende applicaties geinstalleerd?**

• Office scanner
• Abfix
• Currency XE Converter
• CoinCast
• SnapTune Vid
• Horoskope
• Car News

Weghalen

Heb je de bovenstaande applicatie geïnstalleerd dan ben je geïnfecteerd, het de-installeren van de applicatie is niet voldoende om de infectie te beëindigen. Wat je kan doen is je apparaat in Safe mode opstarten, speciale device administrator rechten verwijderen en de malware handmatig de-installeren. Of een factory reset uitvoeren. Daarna zal je voor alle accounts waarmee je ergens op internet inlogt het wachtwoord moeten vervangen, en uiteraard krijgt elke site dan een eigen uniek wachtwoord. Hint: gebruik een wachtwoordmanager zoals 1password.

Conclusie

Vier jaar uit handen gebleven van een van de grootste tech giant ter wereld, een combinatie van social engenering en schijnbaar legitieme apps en actief besmettingen onderdrukken om detectie te voorkomen. Een 3 staps methode om niet op te vallen, om uiteindelijk een aanval tot op individueel niveau te kunnen uitvoeren. Dit is een heel mooi stukje software welke in dit geval geschreven is voor een specifieke doelgroep, het kan two factor authentication omzeilen en andere accounts hijacken. De mogelijkheden zijn ongekend. We houden het erop dat dit stuk malware alleen achter je geld aanzit en geen andere motieven heeft. 

Bron: Uprooting Mandrake: The
Story of an Advanced Android Spyware Framework That Went Undetected for 4 Years

** er bestaan meer bedreigingen, heb je een van de volgende Android applicaties geïnstalleerd? Mijn advies zou zijn de gehele telefoon te factory resetten. Hierbij de lijst: