Rapport McAfee Labs wijst op risico’s van mobiele apps die onderling informatie uitwisselen

14 juni 2016

Intel Security presenteert het McAfee Labs Threats Report: June 1016. Daarin wordt onder andere uitgelegd hoe cybercriminelen een combinatie van twee of meer mobiele apps kunnen gebruiken voor aanvallen op smartphonegebruikers. Dit soort gedrag werd door McAfee Labs gedetecteerd in ruim 5.000 versies van 21 handige mobiele apps, zoals mobiele videostreamingapps, gezondheidsapps en reisplanners. Omdat gebruikers helaas nog vaak verzuimen om belangrijke software updates voor deze apps tijdig te installeren, lopen ze het risico dat oudere versies misbruikt worden.

Deze vorm van samenwerking tussen meerdere mobiele apps – in het Engels aangeduid met ‘collusion’ – wordt al jarenlang als een theoretische mogelijkheid gezien. Daarbij wisselen meerdere mobiele apps onderling informatie met elkaar uit, door gebruik te maken van standaard communicatiefuncties in mobiele besturingssystemen. Deze besturingssystemen isoleren apps in ‘sandboxes’ en kunnen redelijk precies bepalen welke permissies een app heeft. Helaas bieden mobiele platforms tevens functies waarmee apps met elkaar kunnen communiceren, ook dwars door sandbox-barrières heen. Deze mogelijkheden kunnen door cybercriminelen misbruikt worden.

Intel

McAfee Labs heeft drie soorten dreigingen geïdentificeerd:

  • Diefstal van informatie: een app met toegang tot gevoelige of vertrouwelijke informatie kan bewust of onbewust informatie uitwisselen met een of meerdere andere apps, die deze informatie vervolgens wegsluizen.
  • Financiële fraude: een app kan informatie naar een andere app sturen die daarmee vervolgens financiële transacties uitvoert.
  • Misbruik van diensten: een app die een systeem service aanstuurt ontvangt informatie of commando’s van een of meerdere andere apps. Zo kunnen verschillende kwaadaardige activiteiten op het toestel worden uitgevoerd.

Er is wel een aantal voorwaarden voor deze vorm van samenwerking tussen mobiele apps. Er moet minstens één app zijn met de benodigde toegangsrechten tot de gevoelige informatie of service, plus een app die deze toegangsrechten zelf niet heeft, maar die wel kan communiceren met externe systemen. En tot slot moeten deze apps met elkaar kunnen communiceren. Apps kunnen bewust op deze manier samenwerken, maar ook onbewust. Bijvoorbeeld doordat ze gebruik maken van een gemeenschappelijk softwarebibliotheek of software developer kit met kwaadaardige code. Dergelijke apps kunnen ook gebruikmaken van gedeelde opslagruimte (waarbij ze alle bestanden die zich daarin bevinden, kunnen lezen) om informatie uit te wisselen.

“Betere detectie leidt weer tot grotere inspanningen om die detectie te omzeilen”, zegt Wim van Campen, VP Noord- en Oost-Europa voor Intel Security. “Het mag dan ook geen verrassing zijn dat cybercriminelen reageren op inspanningen om de mobiele beveiliging te verbeteren, met nieuwe dreigingen die uit het zicht weten te blijven. Ons doel is om het voor kwaadaardige apps steeds moeilijker te maken om voet aan de grond te krijgen op mobiele toestellen, met slimmere tools en technieken om mobiele apps die met elkaar samenwerken, te detecteren.”

Het rapport van McAfee Labs pleit voor onderzoek naar tools die kunnen detecteren wanneer mobiele apps met elkaar samenwerken voor kwaadaardige doeleinden. Eenmaal gedetecteerd, kunnen deze apps worden geblokkeerd met behulp van mobiele beveiligingstechnologie. Het rapport bevat een aantal aanbevelingen om het risico op samenwerkende apps te beperken. Zo wordt gebruikers aangeraden om alleen mobiele apps te downloaden van betrouwbare bronnen, om apps met advertenties te vermijden, om hun mobiele apparaten niet te ‘jailbreaken’ en vooral: om altijd het besturingssysteem en de app software up-to-date houden.

Het nieuwe Threats Report wijst ook op de terugkeer van de W32/Pinkslipbot trojan voor Windows (ook bekend als Qakbot, Akbot en QBot). Deze trojan werd in 2007 gelanceerd en won al snel een reputatie als schadelijke malware met een sterke impact. Pinkslipbot was in staat om online bankinggegevens, e-mailwachtwoorden en digitale beveiligingscertificaten te stelen. Eind 2015 doemde Pinkslipbot opnieuw op, met diverse verbeteringen. Deze trojan kan zich nu onder andere beschermen tegen beveiligingsanalyses, terwijl encryptie op meerdere niveaus ervoor zorgt dat het voor beveiligingsonderzoekers moeilijk is om deze malware te onderzoeken en te ‘reverse engineeren’. Het rapport bevat ook details over de mechanismen die Pinkslipbot gebruikt om zichzelf te updaten en om gestolen informatie weg te sluizen. Ook wordt ingegaan op de inspanningen van McAfee Labs om besmettingen en diefstal van logingegevens door Pinkslipbot in real-time te monitoren.

Enkele dreigingsstatistieken over Q1 2016

  • Ransomware: het aantal nieuwe ransomware-varianten dat in het eerste kwartaal werd gedetecteerd, is met bijna een kwart (25%) toegenomen ten opzichte van Q4 2016. Dit is het gevolg van het feit dat steeds meer criminelen met relatief weinig technische kennis gebruik maken van kant-en-klare exploit kits om deze vorm van malware te verspreiden.
  • Mobiel: het aantal nieuwe varianten van mobiele malware dat in het eerste kwartaal werd gedetecteerd, is met 17% toegenomen ten opzichte van Q4 2015. De totale hoeveelheid mobiele malware is in het eerste kwartaal met 23% gegroeid terwijl er vergeleken met Q1 2015 maar liefst 113% meer nieuwe varianten van mobiele malware zijn ontdekt.
  • Mac OS malware: de hoeveelheid malware die zich richt op het Mac-platform, is in Q1 sterk gestegen. Dit is voornamelijk het gevolg van een toename in VSearch adware. Hoewel het absolute aantal malwarevarianten voor Mac nog altijd laag is, is in Q1 het totale aantal met 68% toegenomen vergeleken met Q4 2015 en niet minder dan 559% ten opzichte van dezelfde periode een jaar eerder.
  • Macro malware: de hoeveelheid macro malware zet de groei die in 2015 is ingezet door, met een toename van 42% in het aantal waargenomen macro malwarevarianten in Q1. De nieuwe macro malware voert aanvallen uit op bedrijfsnetwerken, via slimme spamcampagnes die gebruikmaken van informatie verkregen door middel van social engineering of met gestolen online informatie.
  • Gamut botnet: het Gamut botnet was in Q1 het meest productieve spam botnet, met een toename in spamvolume van bijna 50%. Veel voorkomende spamcampagnes beloven de ontvangers onder andere manieren om snel veel geld te verdienen, of bevatten aanbiedingen van nagemaakte geneesmiddelen. Kelihos, het botnet waarmee in Q4 2015 nog de meeste spam werd verstuurd en dat ook veel wordt gebruikt om malware te verspreiden, is gezakt naar een vierde plaats.

Pin It on Pinterest

Share This