Onderzoek van een ngo die gespecialiseerd is in de verdediging van de privacy verwijdert de sluiers van een volledig Italiaanse malware die is ontworpen om Android-gebruikers te bespioneren en te onderscheppen
Er is een Android-virus van Italiaanse makelij dat in de Play Store draait: de naam is Exodus en het zit in ongeveer 20 geïnfecteerde apps, die al door duizend mensen zijn gedownload en gebruikt. Het zou zijn geproduceerd door het in Catanzaro gevestigde bedrijf eSurf, dat gespecialiseerd is in bewakingssystemen en in het verleden contracten heeft gehad met Italiaanse rechtshandhavingsinstanties.
Dit blijkt uit een rapport van de NGO Security Without Borders, die gespecialiseerd is in cyberaanvallen en de bescherming van de privacy van mensenrechten-, politieke en sociale rechtenactivisten, in samenwerking met het tijdschrift Motherboard.
Wat Exodus doet, de malware die Italianen onderschept
Uit het diepgaande rapport van de NGO blijkt dat het hoofddoel van de Exodus-malware is om informatie te verzamelen over de gebruiker van de besmette smartphone. De kwaadaardige code, in feite, kan een beetje van alles binnenharken: een lijst van geïnstalleerde applicaties, omgevingsgeluid opgenomen met de microfoon van de telefoon, browsegeschiedenis en bladwijzers van Chrome en SBrowser (de browser op Samsung-telefoons), agendagebeurtenissen, oproeplogs, telefoongesprekken opnemen, foto’s maken met de camera, informatie over telefooncellen, het adresboek extraheren, lijst met Facebook-contacten, logs van Messenger-gesprekken, maak schermafdrukken van elke toepassing, haal beeldinformatie uit de Galerij, haal informatie uit Gmail, contacten en berichten uit de Skype-app, haal alle SMS-berichten en berichten en de coderingssleutel uit Telegram, Viber Messenger-gegevens en logboeken uit WhatsApp, maar ook bestanden die worden uitgewisseld met WhatsApp, het wachtwoord van het Wi-Fi-netwerk waarmee u verbonden bent, WeChat-gegevens en zelfs de GPS-coördinaten van uw telefoon.
Welke apps zijn geïnfecteerd door Exodus
De Exodus-malware is geënterd in ten minste twintig apps, allemaal Italiaans en in de Italiaanse taal, die regelmatig naar de Play Store worden geüpload en waarvan de filters geen enkele bedreiging voor de gebruiker hebben gedetecteerd. Uit een eerste verkenning uitgevoerd door Bufale.net zijn deze tien apps zeker geïnfecteerd: Line Assistance, Special Offers, Personalised Phone Offers, Premium Phone Services, Offers for You, Reactivate Line Assistance, Operator Italy, Promo Offers, SIM Assistance en Phone Offers for You. Het virus draait al sinds ten minste 2016, dus het is mogelijk dat er nog andere geïnfecteerde apps moeten worden ontdekt. Google heeft naar verluidt alle geïnfecteerde apps al uit zijn Store verwijderd.
Hoe het Exodus-virus werkt
De Exodus-infectie begint met het downloaden en installeren van een van de geïnfecteerde apps. Het virus heeft twee fasen, genaamd “Exodus 1” en “Exodus 2”, waarvan de eerste tot taak heeft de IMEI-code van de mobiele telefoon te lezen en door te geven aan de Command & Control-server. Dit gedrag zou suggereren dat het om malware gaat die is geprogrammeerd om een specifiek aantal gebruikers te bespioneren, een scenario dat compatibel is met een onderschepping door de politie.
Maar in werkelijkheid heeft Security Without Borders ontdekt dat zelfs als de verzonden IMEI die van een nieuwe wegwerpmobiele telefoon is, die alleen voor testdoeleinden is geactiveerd, Exodus nog steeds wordt geactiveerd door het downloaden van het tweede Exodus 2-pakket, dat het eigenlijke virus bevat dat ons gedrag begint te volgen. Een van de ernstige risico’s van Exodus is het feit dat het, opzettelijk of door onjuiste programmering, verschillende poorten openlaat en de smartphone kwetsbaar maakt voor iedereen die op hetzelfde Wi-Fi-netwerk is aangesloten en (misschien) zelfs voor dezelfde mobiele provider.
Waarom treft Exodus ook normale gebruikers?
De laatste uren is er een verhit debat ontstaan over dit virus: als het waar is, zoals alles erop wijst, dat het een virus is dat is gemaakt om diepgaande afluisterpraktijken in het milieu uit te voeren, waarom is het dan geïnjecteerd in apps die door iedereen vrijelijk kunnen worden gedownload uit de officiële winkel van Google? De meest verspreide hypothese is ook de minst geruststellende: het werd in de Play Store gezet zodat het kon worden getest voordat het in officiële onderzoeken werd gebruikt. In de afgelopen uren heeft de Garante della Privacy, Antonello Soro, over deze zaak het volgende verklaard: “Het nieuws over het aftappen van honderden burgers die niets te maken hebben met gerechtelijke onderzoeken, als gevolg van een loutere fout in de werking van een voor opsporingsdoeleinden gebruikte computertap, geeft aanleiding tot grote bezorgdheid en zal het voorwerp uitmaken van een grondig onderzoek, ook door de Garante, binnen de grenzen van haar bevoegdheden.
Hoe u te verdedigen tegen het Exodus-virus
Als u in het verleden een van de geïnfecteerde apps hebt gedownload, is het vrijwel zeker dat uw smartphone is geïnfecteerd en dat Exodus een enorme hoeveelheid gegevens over u aan het verzamelen is. Om het virus te verwijderen, moet u een goed antivirusprogramma gebruiken dat is bijgewerkt met de laatste versie. Het probleem is echter dat het bestaan van deze malware pas onlangs bekend is geworden, zodat het niet zeker is dat de meest populaire antivirussoftware in staat zal zijn Exodus te detecteren.