Telefoons gekaapt via Android-lek door malafide apps in Play Store

Er zijn in de Google Play Store drie malafide apps ontdekt die gebruik maakten van een beveiligingslek in Android om volledige controle te krijgen over toestellen. Al eerder werd de kwetsbaarheid ingezet bij zeroday-aanvallen tegen Androidgebruikers. Deze is inmiddels door Google gepatcht.

Waarschuwing

In oktober heeft Google Androidgebruikers al gewaarschuwd voor de kwetsbaarheid. Deze werd op dat moment actief benut. In november 2017 werd het beveiligingslek met de code CVE-2019-2215 gevonden en gerapporteerd. Er verscheen in februari 2018 een update voor Android 3.18-, Android 4.4-, Android 4.9- en Linux 4.14-kernels. Alleen werd deze update nooit toegevoegd aan een maandelijks Android-beveiligingbulletin. Hierdoor waren nog steeds veel toestellen kwetsbaar. Het omvat het zogeheten ‘local privilege escalation.’ Hiermee kan een hacker die al toegang tot een Androidtoestel heeft, volledige controle krijgen over het apparaat.

Patch

Er zou eerst een kwaadaardige applicatie moeten worden geïnstalleerd op de telefoon om misbruik te maken van de kwetsbaarheid. “Het was bijna twee jaar niet in Androidtoestellen gepatcht, ondanks dat er een patch beschikbaar was in de upstream-Linuxkernel”, vertelde Maddie Stone aan Google in november.

Het ging specifiek om de Pegasus-spyware die werd geïnstalleerd door gebruik te maken van deze kwetsbaarheid. Deze spyware is door de NSO Group ontwikkeld, een Israëlisch bedrijf dat software aanbiedt waarmee opsporingsdiensten en overheidsinstanties toegang tot smartphones kunnen krijgen op afstand. Volgens Google is vermoedelijk misbruik gemaakt van de kwetsbaarheid om spyware van de NSO Group te verspreiden.

Malware-apps

Antivirusbedrijf Trend Micro meldt dat er drie Google Play Store apps zijn ontdekt die gebruik maakten van het beveiligingslek om volledige controle te krijgen over toestellen. De malware gebruikte het lek om telefoons te rooten, zodra een gebruiker de apps ‘callCam’, ‘Camero’ of ‘FileCrypt Manager’ wilden installeren. Hierbij ging het vooral om Nokia 3 (TA-1032), Google Pixel (Pixel 2, Pixel 2 XL), LG V20 (LG-H990), Redmi 6A en Oppo F9 (CPH1881) telefoons.

De malware die de apps bevatten, verzamelde onder andere informatie over bestanden op het toestel, geïnstalleerde apps, locatiegegevens, camera-informatie, accountgegevens, screenshots, wifi-informatie en data van Outlook, Twitter, WeChat, Yahoo Mail, Gmail, Chrome en Facebook.
Trend Micro heeft het vermoeden dat de apps al sinds maart 2019 te vinden waren in de Google Play Store. Ze zijn inmiddels door Google verwijderd. Google verhielp afgelopen oktober en november de kwetsbaarheid in Android. Veel Androidtoestellen ontvangen alleen geen updates meer, of later pas.

Bron: Security.nl