Pornosites bezorgen Android-rootkit voor ads-geld

Android-gebruikers lopen risico van een nieuw soort malware die zichzelf op rootniveau innestelt om ads-inkomsten te genereren. De infectie verloopt via besmette sites, waaronder pornosites.

Slachtoffers van de zogeheten HummingBad-malware hoeven zelf geen actie te ondernemen om hun toestel te infecteren. De malware wurmt zichzelf via een drive-by aanval naar binnen. Daarbij is simpelweg het bezoeken van een besmette site genoeg om de kwaadaardige code toe te laten op een kwetsbaar Android-apparaat. Volgens de ontdekkers van beveiligingsbedrijf Check Point is deze kwaadaardige lading in ieder geval geserveerd door enkele pornosites.

Rooten en pwnen

Eenmaal binnen, nestelt HummingBad zich in op het diepliggende rootniveau van Android waar het zijn malafide werk voortzet. Dankzij deze rootkitfunctionaliteit kan de malware aanwezig blijven op eenmaal geïnfecteerde toestellen. De diverse componenten van de software zijn versleuteld, om ontdekking door beveiligingssoftware te voorkomen. Daarbij kan HummingBad een complexe keten aan handelingen uitvoeren om Android te rooten en vervolgens aanvullende eigen functies uit te voeren.

Als het rooten mislukt, schakelt HummingBad over op een ander middel om binnen te komen. De malware schotelt de gebruiker dan een namaakmelding voor over een zogenaamde systeemupdate. Wanneer het slachtoffer valt voor dit social engineeren geeft hij of zij permissie voor de installatie van wat dan eigenlijk een kwaadaardig APK-bestand is. De malware wordt dan geïnstalleerd, waarbij het zijn eigen icoon verbergt en voert dan de vervolgstappen voor uit voor het pwnen van het Android-apparaat.

Ads-fraude

Het voornaamste doel van deze infectie is het via Google Play genereren van ads-inkomsten voor de daders achter deze Android-aanval. Deze werkwijze is volgens de security-onderzoekers van Check Point vergelijkbaar met die van de Brain Test-app die eerder al is ontdekt. Die frauduleuze app is zelfs tot twee maal toe doorgedrongen in de officiële Android app-winkel Google Play. Security-expert Graham Cluley legt uit hoe HummingBad dat heeft gedaan.

Naast ads-inkomsten via referrals in app-winkel Google Play zorgt HummingBad ook voor ads-geld door nog andere frauduleuze apps te installeren. Dankzij de mogelijkheden van de rootkit kan HummingBad namelijk ook andere, diepgaande handelingen uitvoeren. Indien de cybercriminelen dat wensen, zouden ze ook keyloggers kunnen installeren, inloggegevens onderscheppen en zelfs mailversleuteling kunnen omzeilen. De malware communiceert met aansturingsservers (command&control), waarvan er diverse actief zijn en die enkele tientallen verschillende APK’s huisvesten, waarschuwen de experts van Check Point.

Geschreven door: Jasper Bakker op

Category: Nieuws, Android

Tags: android, ads, malware, fraude, infectie, drive-by, rootkit, pornosite, rooten