Cybercriminelen vermommen malware als populaire Android games

ESET_Infected applications

Onder andere Plants vs Zombies en Candy Crush ingezet om een backdoor trojan te verspreiden

Sliedrecht, 22 september 2015ESET heeft een interessante stealth cyberaanval op Android gebruikers ontdekt. Cybercriminelen hebben een backdoor trojan vermomd als populaire arcade games zoals Plants vs Zombies, Candy Crush en Super Hero Adventure om slachtoffers te overtuigen de malware te installeren op hun Android smartphone of tablet. De malafide downloads waren beschikbaar in de officiële Google Play Store. In een blogpost op WeLiveSecurity.com analyseert ESET deze aanval in detail.

De aanval bestaat uit twee delen. In een arcade game zit een zogeheten ‘trojan dropper’ verstopt. Dit is software waarmee een trojan op afstand kan worden ingeladen op een apparaat. De trojan dropper wordt op de apparaten geïnstalleerd als Android/TrojanDropper.Mapin, terwijl de trojan zelf wordt geïnstalleerd als Android/Mapin. De malware geeft cybercriminelen de mogelijkheid de controle over apparaten van slachtoffers volledig over te nemen. Het apparaat wordt vervolgens toegevoegd aan een botnet, een netwerk van geïnfecteerd apparaten die onder beheer staat van de aanvallers.

Timer maakt detectie moeilijker

Android/Mapin is voorzien van een timer, waardoor de trojan na installatie van een malafide app niet direct wordt geactiveerd. Deze timer maakt detectie van de trojan ingewikkelder, aangezien slachtoffers niet direct worden geconfronteerd met de malware na het openen van het geïnfecteerde spel. Slachtoffers weten dus niet direct wat de bron is van malware, waardoor zij moeilijker gerichte actie kunnen ondernemen om het probleem op te lossen.

ESET vermoedt dat de timer de reden is dat de malware in eerste instantie niet door Google is gedetecteerd en in verschillende varianten de officiële Google Play Store heeft weten binnen te dringen. “Sommige varianten van Android/Mapin worden pas na drie dagen volledig actief. Dit is waarschijnlijk één van de redenen waardoor de trojan dropper Google’s antimalwaresysteem heeft weten te omzeilen”, zegt Lukáš Štefanko, een malware onderzoeker bij ESET.

Verstopt in meerdere games

De backdoor trojan werd meerdere keren aangeboden in de officiële Google Play Store. Daarnaast werd Android/Mapin ook aangeboden in verschillende alternatieve (onofficiële) appwinkels. De malware was vermomd als onder andere de games Plants vs zombies, Plants vs Zombies 2, Subway suffers, Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush en Racing Rivals. Eenmaal geïnstalleerd en geactiveerd is de trojan vermomd als een update voor Google Play of de applicatie ‘Manage Settings’.

ESET waarschuwt dat de trojan nog in ontwikkeling is en in de toekomst dan ook nog gevaarlijker kan worden. “Niet alle functionaliteiten van de trojan zijn volledig geïmplementeerd. Het is mogelijk dat deze dreiging nog in ontwikkeling is en de functionaliteiten van de trojan in de toekomst worden uitgebreid”, legt Štefanko uit.

Uitgebreide analyse

Een uitgebreide analyse van Android/TrojanDropper.Mapin en Android/Mapin is beschikbaar in de blogpost ‘Trojan Drops in Despite Google’s Bouncer’ op WeLiveSecurity.com.

 

Over ESET
Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio van beveiligingsproducten is geschikt voor alle populaire platformen en biedt bedrijven en consumenten over de gehele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen, met regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Meer informatie is te vinden op http://www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: