5min Security

5 mobiele spooftrucs die bedrijfsgegevens stelen

5 mobiele spooftrucs die bedrijfsgegevens stelen

Spooftrucs, apps die zich als legitiem voordoen maar in feite vol zitten met malware, vormen een groeiende dreiging voor bedrijven. De laatste tijd is een top vijf actieve mobiele malwarefamilies die vaak zakelijke apps nabootsen door de titel en pakketnaam van de legitieme app over te nemen. Volgens cybersecuritybedrijf Lookout komen deze wolven in schaapskleren de laatste tijd vooral voor bij Cisco’s Businessclass Email app, ADP, Dropbox, FedEx Mobile, Zendesk, VMWare’s Horizon Client, Blackboard’s Mobile Learn app.

Malware dat doet alsof ze een populaire en vertrouwde app of merk zijn is dus een succesvolle truc. In feite gaat het om de echte app die geïnjecteerd is met kwaadaardige code. De malware neemt de legitieme pakketnaam van een app over, of gebruikt het een benaming die er erg op lijkt.

Dit is zorgwekkend voor bedrijven, aangezien veel van deze apps waarschijnlijk door werknemers worden gebruikt, of zelfs door het bedrijf zelf worden ingezet, zoals Cisco of VMWare. Werknemers zullen de zakelijke aanbieders waar ze elke dag mee werken sneller vertrouwen, apps die zich als die aanbieders voordoen toegang verlenen en deze niet snel de-installeren.

Enkele spooftrucs waarbij mobiele malware zich voordoet als legitieme zakelijke apps:

1. Shuanet
Wat doet het? Shuanet root een apparaat, installeert zichzelf op de systeempartitie (is daardoor lastig te verwijderen) en installeert vervolgens zelf verschillende applicaties. Deze kunnen naar de telefoon worden gepusht om meer app-downloads te genereren, maar kunnen ook voor hardnekkige en opdringerige reclame op het apparaat zorgen.
Wat is het risico voor bedrijven? Een threat die een device kan rooten en applicaties kan installeren is zorgwekkend om een aantal redenen. Ten eerste tast het de staat van beveiliging van het apparaat aan. Vaak rooten mensen een smartphoneen apparaat om het aan te kunnen passen, maar ze weten vermoedelijk niet hoe ze vervolgens de beveiliging goed moeten regelen. En reguliere software-updates ontvangen ze vaak niet meer. Ten tweede root Shuanet niet alleen het apparaat, maar installeert het zichzelf op de systeempartitie, waardoor het bijna niet te verwijderen is. Zelfs resetten naar fabrieksinstellingen lost dit probleem niet op. En als laatste kan malware die applicaties installeert ook gevaarlijke apps installeren, en daarmee het apparaat en gebruikersdata in gevaar brengen.
Voorbeelden van apps die het nabootst: ADP Mobile Solutions, CamCard Free, Cisco Business Class Email (BCE), Duo Mobile, Google Authenticator, VMWare Horizon Client, Zendesk, Okta Verify.

2. AndroRAT
Wat doet het? AndroRAT is oorspronkelijk een studentenproject, en was bedoeld als remote administration tool die een derde partij toegang geeft tot contactinformatie, telefoonlogs, tekstberichten, locatie van het apparaat en audio van de microfoon. Tegenwoordig wordt het door kwaadwillenden gebruikt.
Wat is het risico voor bedrijven? Verborgen remote access-software stelt een aanvaller in staat om vanaf een mobiel apparaat toegang te krijgen tot zowel persoonlijke als zakelijke data. Het hebben van remote access tot een mobiele telefoon en of tabletel apparaat stelt een aanvaller in staat om toegang te krijgen tot zakelijke wifinetwerken en VPN’s waar het geïnfecteerde apparaat verbinding mee maakt.
Voorbeelden van apps die het nabootst: Dropbox, Skype, Business Calendar.

3. UnsafeControl
Wat doet het? UnsafeControl kan contactinformatie verzamelen en naar een server van een derde partij sturen. Vervolgens kan het de contactenlijst spammen, of SMS-berichten sturen naar telefoonnummers die door de zogenoemde command-and-control-servers worden doorgegeven.
Wat is het risico voor bedrijven? Malware als UnsafeControl steelt contactinformatie, die voor veel bedrijven als zeer gevoelig kan worden beschouwd. Bijvoorbeeld de contactgegevens op het apparaat van een directeur of hoofd sales kunnen andere bedrijven competitief voordeel verschaffen.
Voorbeelden van apps die het nabootst: FedEx Mobile, Google Keep, Remote VNC Pro, Sky Drive, PocketCloud, Skype.

4. PJApps
Wat doet het? PJApps verzamelt en lekt het telefoonnummer van het slachtoffer, IMEI-nummer en de locatie. Het verdienmodel van deze app zit in het sturen van berichten naar premium SMS-nummers. PJApps is daarnaast in staat om applicaties naar het apparaat te downloaden
Wat is het risico voor een bedrijf? Malware als PJApps probeert in het algemeen geld te verdienen, maar de technologie erachter is zorgwekkend. Dreigingen die locatiegegevens verzamelen zijn in het algemeen zorgwekkend, maar met name als het gaat om apparaten van leidinggevenden omdat bedrijfsgevoelige informatie openbaar gemaakt kan worden. En zoals al eerder gezegd is het gevaarlijk als er zomaar applicaties naar een apparaat gedownload kunnen worden.
Voorbeelden van apps die het nabootst: CamScanner.

5. Ooqqxx
Wat doet het? Deze applicatie bevat een advertentienetwerk dat reclames naar je notificatiebalk pusht, pop-ups stuurt, snelkoppelingen op je homescreen plaatst en grote bestanden downloadt zonder toestemming. Het is vaak niet duidelijk dat de reclames door deze app worden veroorzaakt.
Wat is het risico voor een bedrijf? Simpeler dan je denkt: als het apparaat waarop een werknemer werkt plots reclames toont en zo het werk verstoort, zal de werknemer helpdesktickets gaan indienen bij de IT-afdeling. En tijd is geld.
Voorbeelden van apps die het nabootst: Mobile Learn from Blackboard, Evernote, PocketCloud, Remote Desktop, Adobe Reader, aCalendar.

Uit onderzoek van het Ponemon Instituut blijkt dat 67% van de IT-beveiligingsprofessionals denkt dat hun organisatie al slachtoffer is geweest van een aanval via een mobiiele device. En 83% bevestigt dat mobiele apparaten van werknemers kwetsbaar zijn voor een aanval. Mobiel is een daarmee een erkende zwakke plek in een bedrijf, waar criminelen gretig en actief gebruik van maken.