Nieuwe wormachtige Android malware verspreid zich via WhatsApp

Onderzoekers van securitybedrijf ESET hebben nieuwe Android Malware ontdekt dat zichzelf verspreid via WhatsApp berichten naar andere contacten om naar alle waarschijnlijkheid het bereik van een adware campagne te vergroten.

“Deze malware verspreid zich via de WhatsApp van het slachtoffer door automatisch te antwoorden op iedere ontvangen notificatie van een WhatsApp bericht met een link naar een malafide Huawei Mobile applicatie,” geeft ESET onderzoeker Lukas Stefanko aan.

Deze linkt door naar een neppe Huawei Mobile applicatie, welke zich bevindt in een nagemaakte Google Play Store website. In de link wordt daarnaast ook beloofd als de gebruiker de applicaties heeft geïnstalleerd dat deze een mobiele telefoon kan winnen.

Wat gebeurt er als de app geïnstalleerd is?

Wanneer de wormachtige app is geïnstalleerd, dan krijgt de gebruiker een prompt om de app toegang te geven tot notificaties. Wanneer de gebruiker eenmaal toestemming heeft gegeven, wordt van deze toegang misbruik gemaakt om de wormachtige aanval uit te voeren.

Er wordt specifiek gebruik gemaakt van de “quick reply” functionaliteit van WhatsApp, welke wordt gebruikt om te antwoorden op binnenkomende berichten direct vanaf de notificaties. In dit geval wordt het antwoord automatisch verstuurd.

Naast het vragen om toestemming om de notificaties te lezen, vraagt de applicatie ook opdringerige toegang om in de achtergrond te kunnen draaien en zich boven andere apps te kunnen plaatsen, dit betekend dat de app zich boven andere applicaties kan weergeven met zijn eigen window om zo credentials en andere gevoelige informatie te stelen.

De functionaliteit van de app, volgens Stefanko, is om gebruiker zo ver te krijgen om in een adware of abonnement oplichtingspraktijk te trappen. In een video op YouTube laat Stefanko zien hoe de malware te werkt gaat door middel van een demonstratie met 2 telefoons.

Huidige vorm en mogelijke verder ontwikkeling

In zijn huidige versie kan de malware code alleen automatische antwoorden versturen naar WhatsApp contacten van het slachtoffer. Deze functionaliteit zou uitgebreid kunnen worden in een volgende update naar andere berichtenapps die de “quick reply” functionaliteit van Android ondersteunen.

Het huidige bericht wordt 1x per uur verstuurd naar hetzelfde WhatsApp contact, de inhoud van het bericht en de link worden opgehaald van een server op afstand, hiermee is er de mogelijkheid dat de malware gebruikt kan worden om ook andere kwaadaardige websites en apps te verspreiden.

“Ik kan mij niet herinner dat ik gelezen heb over of Android malware heb geanalyseerd die de functionaliteit heeft om zichzelf te verspreiden via WhatsApp berichten,” geeft Stefanko aan bij The Hacker News.

Stefanko geeft verder aan dat het exacte mechanisme achter hoe de malware zijn weg heeft gevonden naar de eerste groep van gebruikers geïnfecteerde gebruikers niet duidelijk is. Wel is het belangrijk om er bij stil te staan dat wormachtige malware zich kan verspreiden vanaf enkele devices naar heel veel andere devices in een korte tijd.

“Ik denk dat de mogelijkheden zijn dat het verspreid is via SMS, mail, social media, kanalen/chat groepen etc.,” geeft Stefanko aan.

Deze ontwikkeling toont opnieuw aan waarom het zo belangrijk is om via betrouwbare bronnen applicaties van derde partijen de installeren, te verifiëren of een app is gemaakt door een echte ontwikkelaar en goed kijken naar de permissies waar de app om vraagt, voordat deze geïnstalleerd wordt.

Het feit dat deze campagne inspeelt op het vertrouwen die gebruikers hebben in WhatsApp contacten toont aan dat bovenstaande tegenmaatregelen niet voldoende zijn.

Advies

Aan iedereen wordt geadviseerd mocht je via WhatsApp een link toegestuurd krijgen van een vertrouwd contact die je niet (helemaal) vertrouwd, dan niet op deze link te klikken en je bekende contact op de hoogte brengen dat zijn device naar alle waarschijnlijkheid is geïnfecteerd is met Android malware.

Aanbiedingen zoals het winnen van een nieuwe mobiele telefoon zijn vaak te mooi om waar te zijn net als wanneer je deze zou krijgen via een phishingmail.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder
UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Gerelateerde berichten

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Ransomware

De huidige Ransomware en Phishing aanvallen Trends

phishing

UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

drie − een =

Menu