Nieuwe wormachtige Android malware verspreid zich via WhatsApp

Onderzoekers van securitybedrijf ESET hebben nieuwe Android Malware ontdekt dat zichzelf verspreid via WhatsApp berichten naar andere contacten om naar alle waarschijnlijkheid het bereik van een adware campagne te vergroten.

“Deze malware verspreid zich via de WhatsApp van het slachtoffer door automatisch te antwoorden op iedere ontvangen notificatie van een WhatsApp bericht met een link naar een malafide Huawei Mobile applicatie,” geeft ESET onderzoeker Lukas Stefanko aan.

Deze linkt door naar een neppe Huawei Mobile applicatie, welke zich bevindt in een nagemaakte Google Play Store website. In de link wordt daarnaast ook beloofd als de gebruiker de applicaties heeft geïnstalleerd dat deze een mobiele telefoon kan winnen.

Wat gebeurt er als de app geïnstalleerd is?

Wanneer de wormachtige app is geïnstalleerd, dan krijgt de gebruiker een prompt om de app toegang te geven tot notificaties. Wanneer de gebruiker eenmaal toestemming heeft gegeven, wordt van deze toegang misbruik gemaakt om de wormachtige aanval uit te voeren.

Er wordt specifiek gebruik gemaakt van de “quick reply” functionaliteit van WhatsApp, welke wordt gebruikt om te antwoorden op binnenkomende berichten direct vanaf de notificaties. In dit geval wordt het antwoord automatisch verstuurd.

Naast het vragen om toestemming om de notificaties te lezen, vraagt de applicatie ook opdringerige toegang om in de achtergrond te kunnen draaien en zich boven andere apps te kunnen plaatsen, dit betekend dat de app zich boven andere applicaties kan weergeven met zijn eigen window om zo credentials en andere gevoelige informatie te stelen.

De functionaliteit van de app, volgens Stefanko, is om gebruiker zo ver te krijgen om in een adware of abonnement oplichtingspraktijk te trappen. In een video op YouTube laat Stefanko zien hoe de malware te werkt gaat door middel van een demonstratie met 2 telefoons.

Huidige vorm en mogelijke verder ontwikkeling

In zijn huidige versie kan de malware code alleen automatische antwoorden versturen naar WhatsApp contacten van het slachtoffer. Deze functionaliteit zou uitgebreid kunnen worden in een volgende update naar andere berichtenapps die de “quick reply” functionaliteit van Android ondersteunen.

Het huidige bericht wordt 1x per uur verstuurd naar hetzelfde WhatsApp contact, de inhoud van het bericht en de link worden opgehaald van een server op afstand, hiermee is er de mogelijkheid dat de malware gebruikt kan worden om ook andere kwaadaardige websites en apps te verspreiden.

“Ik kan mij niet herinner dat ik gelezen heb over of Android malware heb geanalyseerd die de functionaliteit heeft om zichzelf te verspreiden via WhatsApp berichten,” geeft Stefanko aan bij The Hacker News.

Stefanko geeft verder aan dat het exacte mechanisme achter hoe de malware zijn weg heeft gevonden naar de eerste groep van gebruikers geïnfecteerde gebruikers niet duidelijk is. Wel is het belangrijk om er bij stil te staan dat wormachtige malware zich kan verspreiden vanaf enkele devices naar heel veel andere devices in een korte tijd.

“Ik denk dat de mogelijkheden zijn dat het verspreid is via SMS, mail, social media, kanalen/chat groepen etc.,” geeft Stefanko aan.

Deze ontwikkeling toont opnieuw aan waarom het zo belangrijk is om via betrouwbare bronnen applicaties van derde partijen de installeren, te verifiëren of een app is gemaakt door een echte ontwikkelaar en goed kijken naar de permissies waar de app om vraagt, voordat deze geïnstalleerd wordt.

Het feit dat deze campagne inspeelt op het vertrouwen die gebruikers hebben in WhatsApp contacten toont aan dat bovenstaande tegenmaatregelen niet voldoende zijn.

Advies

Aan iedereen wordt geadviseerd mocht je via WhatsApp een link toegestuurd krijgen van een vertrouwd contact die je niet (helemaal) vertrouwd, dan niet op deze link te klikken en je bekende contact op de hoogte brengen dat zijn device naar alle waarschijnlijkheid is geïnfecteerd is met Android malware.

Aanbiedingen zoals het winnen van een nieuwe mobiele telefoon zijn vaak te mooi om waar te zijn net als wanneer je deze zou krijgen via een phishingmail.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder
UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Gerelateerde berichten

Microsoft

Microsoft Patch Tuesday mei 2021 patcht 55 kwetsbaarheden

21Nails kwetsbaarheden in veel gebruikte Exim-mailservers

FluBot

FluBot Android banking malware verspreid zich snel door Europa

Pulse Secure zero-day

Zero-day kwetsbaarheid in Pulse Secure actief misbruikt en patch nog niet beschikbaar

IcedID

IcedID trojaans paard wordt verspreid via contactformulieren van websites

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een tikkende tijdbom

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

veertien + negentien =

Menu