Het groeiende gevaar van mobiele malware

Niet alleen op computers, maar ook op smartphones is malware een groeiend probleem. Er is echter een aantal belangrijke verschillen tussen hoe malware zich op computers verspreidt en hoe mobiele malware zich verspreidt. Hoe zit dat nu precies, en hoeveel gevaar loop je werkelijk?

Lees ook: Inbraak op miljoen Google-accounts door mobiele malware Gooligan

“Geld verdienen is uiteindelijk de belangrijkste drijfveer van criminelen”, vertelt Michael van der Vaart, CTO bij beveiligingsbedrijf ESET. “Of dat nu via ransomware gebeurt of op andere manieren, is dan niet zo relevant. Hackers willen gewoon snel geld verdienen.”

Er zijn inderdaad verschillende manieren om geld te verdienen met mobiele malware. Vroeger waren dat vooral met dure sms-diensten die op één of andere manier op een toestel werden gezet. Die stuurden vervolgens constant sms’jes naar bepaalde nummers, waar de ontvangers dan veel geld mee verdienden.

Ook nu is dat in sommige landen een probleem, maar niet in Nederland, zegt Jornt van der Wiel, beveiligingsonderzoeker bij Kaspersky. “Vooral in Azië en Rusland zie je dat soort praktijken terug, omdat die aanvallen eerder op de lokale markt zijn gericht.” Zulke sms’jes doen zich voor als Russische diensten, zoals dat in Nederland veel gebeurt bij phishingaanvallen via e-mail.

Van der Vaart (ESET) voegt daaraan toe dat we in Nederland eerder zijn overgestapt op WhatsApp, en sms daarom minder interessant voor criminelen is geworden.


De cijfers

Het is moeilijk iets definitiefs te zeggen over cijfers van mobiele infecties. Die verschillen van rapport tot rapport en ook per meetmethode. Sommige onderzoeksbedrijven kijken bijvoorbeeld naar het aantal infecties dat wordt tegengehouden op telefoons waar hun eigen virusscanner op draait en extrapoleren dat percentage naar het totale aantal toestellen in omloop. Andere onderzoeken kijken naar het aantal geïnfecteerde apps dat in de app-winkels verschijnt.

Er is echter een paar dingen waarover alle rapporten het eens zijn: de cijfers groeien explosief met soms wel 200 procent per jaar, en de meeste virussen slaan toe in Azië en Rusland. Volgens een rapport van Kaspersky komt slechts negen procent van de malware voor in Europa. Er is nog een andere opvallende ontwikkeling: virussen komen voor het overgrote merendeel voor op Android.

De meeste aanvallen komen voor in Azië en Rusland

© PXimport

App Stores

Aan de basis van het probleem liggen vooral de app-winkels van de mobiele besturingssystemen. De meeste mobiele malware komt namelijk binnen via apps die in eerste instantie legitiem lijken, maar op de achtergrond malafide code uitvoeren.

Dat het moeilijk is om echte apps te onderscheiden van neppe, bleek een paar jaar geleden wel toen één van de populairste apps in de Play Store een nep-app bleek te zijn. De app Virus Shield was in april 2014 een van de meest verkochte apps in de marktplaats van Google, hij stond met meer dan 10.000 downloads net achter Minecraft en SwiftKey.

Al die downloaders betaalden 4 dollar voor de app, maar Virus Shield bleek helemaal niets te doen. De ‘virusscanner’ scande niks, maar liet alleen een icoontje in de taakbalk zien waardoor gebruikers het idee hadden beschermd te zijn. 1.700 gebruikers gaven de app gemiddeld 4,7 sterren – een goede indicatie van hoe goed het vertrouwen in de app was.

Gelukkig deed Virus Shield niets verkeerd en was het ‘slechts’ een manier om makkelijk geld te verdienen, maar de situatie illustreert goed hoe simpel het is om malafide apps in de Store te krijgen.

Hoewel Google en Apple wel vooraf controleren of apps goed werken en ook doen wat ze beloven te doen, schort er nogal wat aan dat proces. Zeker bij Google is dat een groot probleem, zegt Van der Vaart. “Google keurt aanvragen sneller goed en het is voor makers goedkoper om een app in de Play Store te zetten.”

Daar komt ook nog bij dat het op Android makkelijker is om apps te sideloaden, iets dat op iOS alleen mogelijk is op gejailbreakte apparaten. Die mogelijkheid werd vorig jaar flink uitgebuit met de populairste app van dat moment.

Pokémon Go

Criminelen spelen steeds vaker in op de populariteit van andere apps, stelt ESET in een beveiligingsrapport. Pokémon GO was in de zomer van vorig jaar niet alleen een grote rage, maar ook een groot veiligheidsrisico.

In de Play Store waren tientallen of misschien zelfs honderden apps te vinden die op de één of andere manier te maken hadden met het populaire spelletje. Namaak-apps die pretendeerden origineel te zijn, maar ook game-guides of zogenaamde plug-ins en add-ons met extra Pokémon waren in werkelijkheid vaak malwareverspreiders.

Veel van die apps stonden legitiem in de Play Store, maar er waren ook heel veel gebruikers die de app downloadden vanaf The Pirate Bay omdat de originele Pokémon GO-app de eerste tijd nog niet in de Nederlandse Store stond. Dat wisten makers van malware ook makkelijk uit te buiten door klonen met malware aan te bieden.

Media has no description

© PXimport

Android versus iOS

Buiten Googles soepelere toegangsbeleid zijn er nog meer oorzaken waardoor mobiele malware een significant groter probleem is op Googles platform dan op het OS van Apple. Zoals gezegd verschillen de cijfers erg, maar de verhoudingen tussen Android en iOS zijn niet te missen. ESET schat dat van alle mobiele infecties slechts één procent op iOS voorkomt. Bovendien, waarschuwt ESET, is het een groot risico dat Android steeds vaker wordt geïmplementeerd in apparaten als televisies, wearables en zelfs auto’s.

De schaal van Android is één van de belangrijkste redenen dat criminelen het platform proberen binnen te dringen. “Android staat op zo veel meer apparaten, dat het aantrekkelijker is om malware daarvoor te schrijven”, zegt Van der Vaart. Dat is te vergelijken met het verschil in het aantal malware-infecties op de desktopbesturingssystemen Windows en macOS.

“Het is niet zo dat virussen voor de Mac niet bestaan, maar wel dat het veel minder aantrekkelijk is ze te schrijven voor die veel kleinere groep potentiële slachtoffers.”

Lees verder op de volgende pagina.

Ook niet geheel verrassend in de ontstaansgeschiedenis van mobiele malware, is de beruchte versnippering van Android waar security-experts al jaren voor waarschuwen. Omdat het mobiele besturingssysteem opensource wordt aangeboden, maken zo veel verschillende fabrikanten er gebruik van op zo veel verschillende toestellen, dat universele securityupdates nagenoeg onmogelijk zijn uit te rollen.

Het is een bekend probleem. Zeker oudere toestellen krijgen kritieke beveiligingsupdates vaak niet meer binnen, en zelfs bij nieuwe toestellen zijn gebruikers afhankelijk van de fabrikant. Als er een beveiligingslek zit in Android, dan moet dat eerst door Google worden opgelost. Vervolgens moet het door de fabrikant worden overgezet naar ieder model dat in omloop is, en vaak moet ook de provider nog akkoord geven voordat een update uiteindelijk bij de gebruiker ligt.

De honderden miljoenen telefoons die op dit moment in omloop zijn, zijn dan ook kwetsbaar voor malware die gebruikmaakt van bekende lekken, en daar zitten de onbekende softwaregaten (‘zero-days’) nog niet eens bij.

Malvertising

En dan is er nog het probleem van ‘malvertising’, wat ook op de computer een groeiend risico oplevert voor gebruikers. Hackers gebruiken in dat geval de advertentienetwerken van (veel gratis) legitieme apps om daarmee foute code op een telefoon te krijgen, of zelfs om apps op de achtergrond te installeren.

Een adblocker kan daar op mobiele browsers wel tegen beschermen, maar voor apps zijn er nog geen goede oplossingen om advertenties tegen te houden, tenzij je je telefoon root maar juist dat levert extra gevaren op. Van der Vaart: “Malware zoekt manieren om roottoegang tot een toestel te krijgen. Het is dan namelijk makkelijker om tot belangrijke onderdelen van het systeem te komen, waar het veel meer kan verbergen, aanpassen of stelen.”

Opvallend genoeg lijkt de diefstal van persoonlijke informatie of die van inloggegevens, geen groot risico. Zowel Van der Vaart als Van der Wiel heeft het daar nauwelijks over, al zou het voor de hand liggen dat daar geld in te verdienen valt. Veel malware voor de desktop probeert om persoonlijke informatie zoals creditcardgegevens of gebruikersnamen en wachtwoorden te stelen. Die informatie wordt vervolgens verkocht op ondergrondse marktplaatsen.

Er zijn overigens wel degelijk voorbeelden van mobiele virussen die zich specifiek richten op het vinden van zulke informatie. In november 2016 wist het zogeheten Gooligan-virus meer dan één miljoen Android-telefoons te besmetten, met als voornaamste doel om inloggegevens van gebruikers te stelen en zo in hun Google-accounts te komen.

Media has no description

© PXimport

Mobiele ransomware

Net als op de desktop is op mobiele apparaten de verspreiding van ransomware een grote dreiging, en eentje die met name door de succescijfers een favoriet van hackers wordt. Van der Vaart: “Ransomware werkt, dat is een feit. Slachtoffers zijn snel geneigd te betalen als ze getroffen worden door gijzelsoftware, omdat ze nu eenmaal hun apparaat of hun bestanden terug willen krijgen.”

Die ontwikkeling ziet Van der Wiel (Kaspersky) niet terug in Nederland, maar wel in bijvoorbeeld Rusland. Dat is niet heel gek, want ook voor de desktop wordt ransomware significant vaker in Rusland verspreid.

Het gaat bij mobiele apparaten wel om een andere vorm van ransomware als die nu bekend is. Het heeft namelijk weinig zin om bestanden te versleutelen die op de telefoon staan, al zou je juist het tegenovergestelde denken. Telefoons hebben meer gevoelige informatie dan welk ander apparaat dan ook, en zijn zo persoonlijk dat mensen vaak veel geld over hebben om versleutelde bestanden terug te krijgen.

Toch werkt dat bijna niet meer, zegt Van der Vaart. “Dat gebeurde vroeger nog weleens, maar hackers hielden daar snel mee op omdat het bijna niets oplevert. Iedereen back-upt zijn foto’s en ook andere gegevens gaan worden naar de cloud verzonden. Er staat bijna niets meer alléén nog op je telefoon.”

Ransomware richt zich daarom vooral op het apparaat zelf. Dat gebeurt door een paginagrote advertentie op het homescreen te plaatsen of een eigen vergrendelscherm op de telefoon te zetten, waar de gebruiker de toegangscode pas van krijgt nadat hij heeft betaald. Het lijkt evident dat je niet moet betalen bij een besmetting, maar toch wordt hier door experts nog enige nuance in aangebracht.

Tips

Dan nog enkele tips om jezelf te beschermen. Zorg dat je altijd voldoende back-ups hebt van je documenten. Alleen automatisch uploaden naar clouddiensten is niet veilig, want de besmette bestanden worden dan ook gesynchroniseerd. Back-up dus regelmatig offline.

Hoewel er een aantal malafide apps in de Play Store en App Store staan, is het downloaden uit zulke app-winkels nog steeds de veiligste manier om applicaties binnen te halen. De controle van Google en Apple is namelijk redelijk goed, en houdt veel malware gewoon tegen. Download applicaties dus alleen uit de app-winkels. Let bovendien op dat je in Android bij je instellingen uitschakelt dat je apps uit externe bronnen kunt installeren.

Er zijn tot slot tools beschikbaar om Android-toestellen met een druk op de knop te rooten en te jailbreaken. Hoewel dat voordelen heeft (je kunt immers dingen met je telefoon die je zonder root-toegang niet kunt) loop je er ook meer risico door. Apps kunnen dan namelijk veel gemakkelijker malafide code uitvoeren die veel meer schade aan kan richten dan zonder root-rechten. Maak het die apps dus niet te makkelijk en root je telefoon niet als je goed beschermd wil blijven.

Deel dit artikel
Voeg toe aan favorieten