zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Vijf mobiele spooftrucs die uw gegevens stelen

2 juni 2016 - Mobiele applicaties, werknemers gebruiken ze elke dag om hun werk gedaan te krijgen, maar als kwaadwillenden deze apps nabootsen, levert dat voor IT-afdelingen wereldwijd veel problemen op. Lookout deed onlangs onderzoek naar vijf soorten malware die zakelijke apps nabootsen met als doel gedownload te worden door een onoplettende gebruiker.

De dataset van mobiele code laat zien dat deze vijf actieve mobiele malware families vaak zakelijke apps nabootsen door de titel en pakketnaam van de legitieme app over te nemen. Daaronder vallen onder meer Cisco’s Businessclass Email app, ADP, Dropbox, FedEx Mobile, Zendesk, VMWare’s Horizon Client, Blackboard’s Mobile Learn app en anderen.



Profiteren van anderen erin luizen
Om succesvol te blijven gebruiken malware-auteurs een aantal trucs om nieuwe slachtoffers te vinden: één daarvan is doen alsof ze een populaire app of merk zijn dat mensen vertrouwen. In feite gaat het daarbij om precies dezelfde app, maar geïnjecteerd met kwaadaardige code. Het is de klassieke wolf in schaapskleren, en het zorgt ervoor dat malware al snel heel veilig lijkt. In dit geval neemt de malware de legitieme pakketnaam van een app over, of gebruikt het een benaming die er erg op lijkt. 
Dit is zorgwekkend voor bedrijven, aangezien veel van deze apps waarschijnlijk door werknemers worden gebruikt, of zelfs door het bedrijf zelf worden ingezet, zoals Cisco of VMWare. Werknemers zullen de zakelijke aanbieders waar ze elke dag mee werken sneller vertrouwen, apps die zich als die aanbieders voordoen toegang verlenen en deze niet snel de-installeren.

Mobiele malware in vermomming
Enkele manieren waarop mobiele malware zich voordoet als legitieme zakelijke apps:

1. Shuanet
Wat doet het? Shuanet root een apparaat, installeert zichzelf op de systeempartitie (is daardoor lastig te verwijderen) en installeert vervolgens zelf verschillende applicaties. Deze kunnen naar de telefoon worden gepusht om meer app-downloads te genereren, maar kunnen ook voor hardnekkige en opdringerige reclame op het apparaat zorgen.
Wat is het risico voor bedrijven? Een threat die een device kan rooten en applicaties kan installeren is zorgwekkend om een aantal redenen. Ten eerste tast het de staat van beveiliging van het apparaat aan. Vaak rooten mensen een smartphoneen apparaat om het aan te kunnen passen, maar ze weten vermoedelijk niet hoe ze vervolgens de beveiliging goed moeten regelen. En reguliere software-updates ontvangen ze vaak niet meer. Ten tweede root Shuanet niet alleen het apparaat, maar installeert het zichzelf op de systeempartitie, waardoor het bijna niet te verwijderen is. Zelfs resetten naar fabrieksinstellingen lost dit probleem niet op. En als laatste kan malware die applicaties installeert ook gevaarlijke apps installeren, en daarmee het apparaat en gebruikersdata in gevaar brengen.
Voorbeelden van apps die het nabootst: ADP Mobile Solutions, CamCard Free, Cisco Business Class Email (BCE), Duo Mobile, Google Authenticator, VMWare Horizon Client, Zendesk, Okta Verify.

2. AndroRAT
Wat doet het? AndroRAT is oorspronkelijk een studentenproject, en was bedoeld als remote administration tool die een derde partij toegang geeft tot contactinformatie, telefoonlogs, tekstberichten, locatie van het apparaat en audio van de microfoon. Tegenwoordig wordt het door kwaadwillenden gebruikt.
Wat is het risico voor bedrijven? Verborgen remote access-software stelt een aanvaller in staat om vanaf een mobiel apparaat toegang te krijgen tot zowel persoonlijke als zakelijke data. Het hebben van remote access tot een mobiele telefoon en of tabletel apparaat stelt een aanvaller in staat om toegang te krijgen tot zakelijke wifinetwerken en VPN’s waar het geïnfecteerde apparaat verbinding mee maakt.
Voorbeelden van apps die het nabootst: Dropbox, Skype, Business Calendar.

3. UnsafeControl
Wat doet het? UnsafeControl kan contactinformatie verzamelen en naar een server van een derde partij sturen. Vervolgens kan het de contactenlijst spammen, of SMS-berichten sturen naar telefoonnummers die door de zogenoemde command-and-control-servers worden doorgegeven.
Wat is het risico voor bedrijven? Malware als UnsafeControl steelt contactinformatie, die voor veel bedrijven als zeer gevoelig kan worden beschouwd. Bijvoorbeeld de contactgegevens op het apparaat van een directeur of hoofd sales kunnen andere bedrijven competitief voordeel verschaffen.
Voorbeelden van apps die het nabootst: FedEx Mobile, Google Keep, Remote VNC Pro, Sky Drive, PocketCloud, Skype.

4. PJApps
Wat doet het? PJApps verzamelt en lekt het telefoonnummer van het slachtoffer, IMEI-nummer en de locatie. Het verdienmodel van deze app zit in het sturen van berichten naar premium SMS-nummers. PJApps is daarnaast in staat om applicaties naar het apparaat te downloaden
Wat is het risico voor een bedrijf? Malware als PJApps probeert in het algemeen geld te verdienen, maar de technologie erachter is zorgwekkend. Dreigingen die locatiegegevens verzamelen zijn in het algemeen zorgwekkend, maar met name als het gaat om apparaten van leidinggevenden omdat bedrijfsgevoelige informatie openbaar gemaakt kan worden. En zoals al eerder gezegd is het gevaarlijk als er zomaar applicaties naar een apparaat gedownload kunnen worden.
Voorbeelden van apps die het nabootst: CamScanner.

5. Ooqqxx
Wat doet het? Deze applicatie bevat een advertentienetwerk dat reclames naar je notificatiebalk pusht, pop-ups stuurt, snelkoppelingen op je homescreen plaatst en grote bestanden downloadt zonder toestemming. Het is vaak niet duidelijk dat de reclames door deze app worden veroorzaakt.
Wat is het risico voor een bedrijf? Simpeler dan je denkt: als het apparaat waarop een werknemer werkt plots reclames toont en zo het werk verstoort, zal de werknemer helpdesktickets gaan indienen bij de IT-afdeling. En tijd is geld.
Voorbeelden van apps die het nabootst: Mobile Learn from Blackboard, Evernote, PocketCloud, Remote Desktop, Adobe Reader, aCalendar.

Impact op het bedrijf
Het feit dat mobiele malware-auteurs dit soort trucs gebruiken verbaast allerminst. Bedrijfsdata is waardevol, en mobiele aanvallen op bedrijven vinden al langer plaats. Uit onderzoek van het Ponemon Instituut blijkt dat 67 procent van de IT-beveiligingsprofessionals denkt dat hun organisatie al slachtoffer is geweest van een aanval via een mobiiele device. En 83 procent bevestigt dat mobiele apparaten van werknemers kwetsbaar zijn voor een aanval. Mobiel is een daarmee een erkende zwakke plek in een bedrijf, waar criminelen gretig en actief gebruik van maken.
Helaas is Mobile Device Management (MDM) geen ‘silver bullet’. Deze typen managementoplossingen stellen bedrijven in staat om apps te blacklisten en te whitelisten. MDM doet dit op basis van de pakketnaam van een app. Als een bedrijf bijvoorbeeld FedEx gebruikt, en de app van deze pakketdienst als geschikt voor gebruik markeert, glipt malware met dezelfde pakketnaam er moeiteloos door.
Het idee dat mobiele apparaten waar MDM op draait onaantastbaar zijn voor malware is onjuist: ongeveer 33 van de 1000 apparaten waar MDM op draait hebben last van malware, blijkt uit onderzoek van Lookout. Dit is net zo vaak als bij apparaten waar geen MDM op draait. Dat betekent dat bedrijven die MDM gebruiken nog steeds in contact komen met malware, en erop moeten vertrouwen dat de beveiligingssoftware de malware zal detecteren en de problemen oplossen.

Hou uw bedrijf veilig
De zorg is dat één van deze apps een werknemer voor de gek houdt, die gewoon een pakketje wil verzenden of een businesscard wil scannen, een neppe applicatie downloadt en onbedoeld het hele bedrijf in gevaar brengt. Helaas is een MDM-oplossing alleen niet genoeg.
De meerderheid van deze apps wordt gedownload via marktplaatsen van derde partijen of via bovengenoemde download-aanvallen (drive-by download attacks). Echter zien we ook regelmatig malware in officiële app stores. Dus zelfs als werknemers voorzichtig zijn, is er nog steeds een mogelijk gevaar.
Zichtbaarheid is een belangrijk onderdeel van mobiele beveiliging. Hoewel je werknemer niet in de gaten kan hebben wat hij of zij downloadt, kunnen IT-beheerders met de juiste tools onmiddellijk zien dat een schijnbaar ongevaarlijke app een bedreiging vooran bedrijfsdata vormt.

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Geldautomaten wereldwijd getroffen door malware
 Cybercriminelen vinden elkaar openlijk op sociale media
 Mobiele malware doet aanslag op vertrouwen
 Vrijwel alle mobiele malware richt zich op Android-toestellen
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Pas op met het snijden in de kosten als ondernemer
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10