Onderzoekers van Trend Micro hebben een nieuwe versie ontdekt van AndroRAT, malware die in 2012 werd gelanceerd en een bug in Android misbruikt om mobiele telefoons te infecteren
AndroRAT is een oude bekende van Android-gebruikers. Het is malware die voor het eerst werd ontdekt in 2012 en die misbruik maakt van een kwetsbaarheid in het Android-besturingssysteem om smartphones en tablets te infecteren. Google heeft het probleem in 2016 voorgoed opgelost door een software-update te publiceren. Dit had echter geen gevolgen voor oudere versies van het besturingssysteem. En nu blijkt dat meer dan 20% van de smartphones met de groene robot kan worden geïnfecteerd door AndroRAT, die inmiddels is geëvolueerd en nieuwe functies heeft gekregen.
Het waren de IT-onderzoekers van Trend Micro die alarm sloegen door AndroRAT te ontdekken binnen TrashCleaner, een toepassing die belooft de smartphone te ontdoen van nutteloze documenten, maar in werkelijkheid het virus installeert en de controle over het apparaat overneemt. AndroRAT is een zeer gevaarlijk stukje malware, dat in staat is telefoongesprekken op te nemen, verzonden sms-berichten op te slaan en, het allerbelangrijkste, al onze inloggegevens te stelen.
Hoe AndroRAT uw smartphone infecteert
Zoals gezegd, zijn het oudere Android-smartphones, waarop een versie van het besturingssysteem van een paar jaar geleden wordt uitgevoerd, die gevaar lopen. Volgens deskundigen zijn toestellen met Android KitKat, Jelly Bean, Ice Cream Sandwich of Gingerbread (die momenteel op ongeveer 20 procent van de toestellen op de groene robot te vinden zijn) kwetsbaar. In de meest recente versies van Android heeft Google de kwetsbaarheid verholpen die AndroRAT in staat stelt de controle over de smartphone over te nemen.
De malware trojan werd ontdekt binnen TrashCleaner, een applicatie die niet in de Google Play Store te vinden is en die belooft de smartphone sneller te maken door overbodige apps en documenten te verwijderen. Maar dat is niet zo. Zodra de app is geïnstalleerd, wordt een bericht getoond dat de gebruiker uitnodigt om een Calculator-app te downloaden, die hetzelfde logo heeft als de Android-app, maar is ontwikkeld door een Chinees softwarehuis. Op dit punt verdwijnt het pictogram TrashCleaner van de smartphone-interface en AndroRAT wordt op de achtergrond geactiveerd en begint de controle over het apparaat over te nemen. De malware is zeer krachtig: hij kan telefoongesprekken opnemen, zelfstandig foto’s nemen met de camera, de locatie van de gebruiker controleren via GPS en de naam opslaan van de wifi-netwerken waarmee de smartphone verbinding maakt. Maar dat is niet alles. AndroRAT heeft de afgelopen maanden nieuwe functies aan zijn “portfolio” toegevoegd: het is in staat de browsergeschiedenis te stelen, foto’s te nemen met de frontcamera, documenten naar de smartphone te uploaden, schermafbeeldingen te maken en bovenal gebruikersgegevens te verkrijgen (diensten en sociale media).
Maar hoe wordt TrashCleaner, de applicatie die de deur opent voor AndroRAT, verspreid? Volgens onderzoekers van Trend Micro verspreiden hackers de URL voor het downloaden van TrashCleaner via misleidende advertenties of door het versturen van phishing-e-mails.
Hoe te verdedigen tegen AndroRAT
Om zich tegen AndroRAT te verdedigen, is het noodzakelijk om TrashCleaner te blokkeren, de vector die de malwaretrojan draagt. De app is niet aanwezig in de Google Play Store en dit zou de gebruiker al aan het denken moeten zetten. Wanneer u een app downloadt van een winkel van derden, moet u er zeker van zijn dat het een veilige bron is. In de meeste gevallen worden onofficiële markten door hackers gebruikt om hun geïnfecteerde apps te publiceren. Bovendien is het raadzaam een antivirustoepassing te installeren om uzelf te beschermen tijdens het surfen op het net.