abonneren

Malware op Android-smartphones vinden en verwijderen

Malware op Android
De meeste cybercriminelen hebben het op Windows-systemen gemunt, maar ook andere besturingssystemen blijven niet gevrijwaard. Over malware op Android hoor je tevens telkens vaker. Hoe komt dat, welke bedreigingen zijn er zoal en hoe reken je daarmee af?

Dat Android het meest in het vizier van cybercriminelen komt heeft niet alleen te maken met het groter aantal gebruikers. Een andere factor is de hoge fragmentatiegraad: het aantal apparaatmodellen en OS-versies is veel groter dan bij iOS, wat het risico op achterdeuren en exploits verhoogt. Bovendien geven niet alle fabrikanten van Android-apparaten de nodige prioriteit aan het implementeren van de in Android ingebouwde beveiligingsfuncties. Apple daarentegen behoudt de volledige controle over de hardwarebeveiliging en ook de controle over het app-aanbod in de store is strenger dan bij Google.

Android laat bijvoorbeeld ook toe dat je apps van andere bronnen downloadt. Verder is het updatebeleid voor beveiligingspatches minder strikt bij Android: er worden weliswaar maandelijkse updates in de Android Security Bulletin aangeboden, maar de gebruikers zijn niet verplicht die effectief ook door te voeren en bij sommige fabrikanten komen updates vaak met grote vertraging – of zelfs helemaal niet - door. Google heeft op dit vlak wel beterschap beloofd, maar wat daarvan terecht zal komen is onbekend.

Virus op telefoon?

Hoe vogel je nu uit of je smartphone is geïnfecteerd? Om te beginnen zijn er bepaalde indicaties die in die richting kunnen wijzen, hoewel er ook andere oorzaken kunnen spelen. Zo kunnen opvallend hogere telefoonkosten te wijten zijn aan (voor jou onbekende) premiumdiensten, of je merkt een stijging in het datavolume op. Ga naar Instellingen en open Netwerk en internet / Datagebruik.

Een andere indicatie kan een hoger energieverbruik zijn: je accu loopt sneller leeg en je merkt warmteontwikkeling op, ook op momenten dat je de telefoon niet gebruikt. Of er duiken zomaar advertenties op, je toestel reageert merkbaar trager of je merkt spontane herstarts op.

Sommige malwares eigenen zich ook het recht van apparaatbeheerder toe - dat kun je checken bij Instellingen / Beveiliging en locatie / Apps voor apparaatbeheer – of ze proberen root-rechten te krijgen. Dit laatste kun je met een app als Root Checker uit de Play Store controleren, maar het kan ook handmatig, met behulp van de Android sdk-component Platform-Tools.

Malware op Android

Open de opdrachtprompt en navigeer naar de uitgepakte submap \platform-tools, waar je adb.exe devices opstart. Zorg wel dat je Android-apparaat met een usb-kabel aan je pc is gekoppeld en dat usb-debugging op je apparaat is ingeschakeld. Om usb-debugging in te schakelen open je Instellingen op je Android-toestel en kies je Systeem / Ontwikkelaarsopties, waar je de schakelaar bij USB-foutopsporing op Aan zet.

Echter, vanaf Android 4.2 zijn de ontwikkelaarsopties standaard verborgen. Je maakt die als volgt zichtbaar. Ga naar Instellingen, kies Over de telefoon en tik zeven keer na elkaar op Build-nummer. Schakel de functie voor de veiligheid wel weer uit na de debugging-sessie.

Als het goed is, verschijnt nu het id van je Android-apparaat. Verleen desgevraagd toelating op je apparaat, tik adb shell in en controleer met (een van) de volgende commando’s of het apparaat werd geroot:

su (indien niet geroot verschijnt /system/bin/sh: not found)

ps (geroote processen beginnen met daemonsu)

mount (indien niet geroot heeft de systeempartitie ro – read only – als eerste waarde)

Wil je weten of een (malafide) app heimelijk gegevens doorstuurt dan kun je hiervoor de man-in-the-middle-debugger Packet Capture van Grey Shirts installeren (vanuit de Play Store). Die maakt slim gebruik van een vpn-service waarlangs alle dataverkeer wordt geleid.

Wil je ook https-verkeer monitoren, selecteer na de installatie van de app dan Install certificate. De tool toont je alle opgevangen data, inclusief protocol en doeladres. Tik een datapakket aan voor nog meer details. Datastromen kun je – in een of beide richtingen – ook bewaren, desgewenst in pcap-formaat zodat je de streams ook met een tool als Wireshark kunt analyseren.

Smartphone-virus verwijderen

Wat als je inderdaad een malware-app hebt aangetroffen? In veel gevallen kun je die min of meer langs de ‘normale’ weg verwijderen. Ga naar Instellingen, kies Apps en meldingen en tik op Alle x apps bekijken. Selecteer de verdachte app en check nog even de Machtigingen en de andere eigenschappen, zoals Datagebruik, Batterij en Geheugen. Blijf je ervan overtuigd dat het om een malafide app gaat, selecteer dan Opslagruimte en tik eventueel op Cache wissen en Gegevens wissen. Ga terug naar het vorige scherm en kies Nu stoppen en Verwijderen.

Apps met root- of apparaatbeheerrechten laten zich echter niet zomaar verwijderen. Veelal zit er dan weinig anders op dan een terugkeer naar de fabrieksinstellingen. Dat kan via Instellingen / Systeem / Opties voor resetten / Alle gegevens wissen (fabrieksinstellingen terugzetten). Haal ook de eventuele sd-kaart uit het toestel, stop die in een computer, wis en herformatteer die.

We gaan er uiteraard wel van uit dat je over een (online) back-up beschikt van je data zodat je die na de reset snel weer terug hebt. Toch?

Geschreven door: Toon van Daele op

Category: Workshop, Security

Tags: Android, Malware