Onderzoekers van securitybedrijf ESET hebben nieuwe Android Malware ontdekt dat zichzelf verspreid via WhatsApp berichten naar andere contacten om naar alle waarschijnlijkheid het bereik van een adware campagne te vergroten.
“Deze malware verspreid zich via de WhatsApp van het slachtoffer door automatisch te antwoorden op iedere ontvangen notificatie van een WhatsApp bericht met een link naar een malafide Huawei Mobile applicatie,” geeft ESET onderzoeker Lukas Stefanko aan.
Deze linkt door naar een neppe Huawei Mobile applicatie, welke zich bevindt in een nagemaakte Google Play Store website. In de link wordt daarnaast ook beloofd als de gebruiker de applicaties heeft geïnstalleerd dat deze een mobiele telefoon kan winnen.
Wat gebeurt er als de app geïnstalleerd is?
Wanneer de wormachtige app is geïnstalleerd, dan krijgt de gebruiker een prompt om de app toegang te geven tot notificaties. Wanneer de gebruiker eenmaal toestemming heeft gegeven, wordt van deze toegang misbruik gemaakt om de wormachtige aanval uit te voeren.
Er wordt specifiek gebruik gemaakt van de “quick reply” functionaliteit van WhatsApp, welke wordt gebruikt om te antwoorden op binnenkomende berichten direct vanaf de notificaties. In dit geval wordt het antwoord automatisch verstuurd.
Naast het vragen om toestemming om de notificaties te lezen, vraagt de applicatie ook opdringerige toegang om in de achtergrond te kunnen draaien en zich boven andere apps te kunnen plaatsen, dit betekend dat de app zich boven andere applicaties kan weergeven met zijn eigen window om zo credentials en andere gevoelige informatie te stelen.
De functionaliteit van de app, volgens Stefanko, is om gebruiker zo ver te krijgen om in een adware of abonnement oplichtingspraktijk te trappen. In een video op YouTube laat Stefanko zien hoe de malware te werkt gaat door middel van een demonstratie met 2 telefoons.
Huidige vorm en mogelijke verder ontwikkeling
In zijn huidige versie kan de malware code alleen automatische antwoorden versturen naar WhatsApp contacten van het slachtoffer. Deze functionaliteit zou uitgebreid kunnen worden in een volgende update naar andere berichtenapps die de “quick reply” functionaliteit van Android ondersteunen.
Het huidige bericht wordt 1x per uur verstuurd naar hetzelfde WhatsApp contact, de inhoud van het bericht en de link worden opgehaald van een server op afstand, hiermee is er de mogelijkheid dat de malware gebruikt kan worden om ook andere kwaadaardige websites en apps te verspreiden.
“Ik kan mij niet herinner dat ik gelezen heb over of Android malware heb geanalyseerd die de functionaliteit heeft om zichzelf te verspreiden via WhatsApp berichten,” geeft Stefanko aan bij The Hacker News.
Stefanko geeft verder aan dat het exacte mechanisme achter hoe de malware zijn weg heeft gevonden naar de eerste groep van gebruikers geïnfecteerde gebruikers niet duidelijk is. Wel is het belangrijk om er bij stil te staan dat wormachtige malware zich kan verspreiden vanaf enkele devices naar heel veel andere devices in een korte tijd.
“Ik denk dat de mogelijkheden zijn dat het verspreid is via SMS, mail, social media, kanalen/chat groepen etc.,” geeft Stefanko aan.
Deze ontwikkeling toont opnieuw aan waarom het zo belangrijk is om via betrouwbare bronnen applicaties van derde partijen de installeren, te verifiëren of een app is gemaakt door een echte ontwikkelaar en goed kijken naar de permissies waar de app om vraagt, voordat deze geïnstalleerd wordt.
Het feit dat deze campagne inspeelt op het vertrouwen die gebruikers hebben in WhatsApp contacten toont aan dat bovenstaande tegenmaatregelen niet voldoende zijn.
Advies
Aan iedereen wordt geadviseerd mocht je via WhatsApp een link toegestuurd krijgen van een vertrouwd contact die je niet (helemaal) vertrouwd, dan niet op deze link te klikken en je bekende contact op de hoogte brengen dat zijn device naar alle waarschijnlijkheid is geïnfecteerd is met Android malware.
Aanbiedingen zoals het winnen van een nieuwe mobiele telefoon zijn vaak te mooi om waar te zijn net als wanneer je deze zou krijgen via een phishingmail.
Eerdere berichten
Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten: