Onderzoekers waarschuwen voor Androidmalware die criminelen via de telefoon van hun slachtoffers laat frauderen, wat detectie moet bemoeilijken. De malware wordt ExobotCompact/Octo genoemd en is een banking Trojan gemaakt om te frauderen met online bankieren. Eenmaal actief kan de malware ook toetsaanslagen opslaan, alsmede de pincode en het patroon om de telefoon mee te ontgrendelen.
Octo kan de telefoon ook vergrendelen, sms-berichten onderscheppen, notificaties stoppen, applicaties verwijderen en een overlay boven applicaties tonen om inloggegevens mee te onderscheppen. De nieuwste versie van de malware geeft aanvallers op afstand toegang om on-device fraude (ODF) mee te plegen, zo meldt securitybedrijf Threatfabric. Hierbij worden malafide transacties vanaf de telefoon van het slachtoffer uitgevoerd.
Om op afstand het toestel te bedienen maakt de malware gebruik van ingebouwde features van Android, waaronder MediaProjection voor screenstreaming en de AccessibilityService om acties op afstand uit te voeren. Voor het verspreiden van de malware wordt er gebruik gemaakt van gecompromitteerde en malafide websites die zogenaamde updates of financiële apps aanbieden. De aangeboden app is in werkelijkheid de malware die buiten de Play Store wordt aangeboden.
Daarnaast maken de criminelen gebruik van dropper-apps in de Google Play Store. Deze apps doen zich voor als legitieme app voor bijvoorbeeld het opschonen van de telefoon. Een van deze apps, Fast Cleaner, had meer dan 50.000 downloads op Google Play. Eenmaal actief stelt de app dat er een update beschikbaar is die de gebruiker moet downloaden. Het gaat hier om de malware die buiten de Play Store wordt aangeboden. Android blokkeert standaard het installeren van “onbekende apps” en gebruikers zullen deze beveiligingsmaatregel dan ook moeten uitschakelen om de zogenaamde update te installeren.
Bron: Security.nl