Wie na het werk graag een spelletje speelt op de Androidtelefoon of tablet kan sinds kort ook via de Google Play Store een backdoor Trojan oplopen. Cybercriminelen vermommen zo’n trojan als populaire games als Plants vs Zombies, Candy Crush en Super Hero Adventure. Slachtoffers halen zo ongemerkt malware binnen.
De malafide downloads waren een tijd beschikbaar in de officiële Google Play Store. In een blogpost van ESET op WeLiveSecurity.com staat een analyse.
De aanval bestaat uit twee delen. In een game zit een zogeheten ’trojan dropper’ verstopt. Dit is software waarmee een trojan op afstand kan worden ingeladen. De trojan dropper wordt op de apparaten geïnstalleerd als Android/TrojanDropper.Mapin, terwijl de trojan zelf wordt geïnstalleerd als Android/Mapin.
De malware geeft cybercriminelen de mogelijkheid de controle over apparaten van slachtoffers volledig over te nemen. Het apparaat wordt vervolgens toegevoegd aan een botnet, een netwerk van geïnfecteerd apparaten die onder beheer staat van de aanvallers.
Timer maakt detectie moeilijker
Android/Mapin bevat een timer. De trojan is dus na installatie van een malafide app niet meteen actief. Vooral deze timer maakt detectie van de trojan ingewikkelder. Slachtoffers weten niet direct wat de bron is van malware. ze kunnen dus moeilijker gerichte actie ondernemen om het probleem op te lossen.
Ook Google werd in eerste instantie om de tuin geleid. “Sommige varianten van Android/Mapin worden pas na drie dagen volledig actief. Dit is waarschijnlijk één van de redenen waardoor de trojan dropper Google’s antimalwaresysteem heeft weten te omzeilen”, zegt Lukás Stefanko, een malware onderzoeker bij ESET.
De backdoor trojan is meerdere keren aangeboden in de officiële Google Play Store en in verschillende alternatieve (onofficiële) appwinkels. Eenmaal geïnstalleerd en geactiveerd is de trojan vermomd als een update voor Google Play of de applicatie ‘Manage Settings’.
ESET waarschuwt dat de trojan nog in ontwikkeling is en in de toekomst dan ook nog gevaarlijker kan worden. “Niet alle functionaliteiten van de trojan zijn volledig geïmplementeerd. Het is dus mogelijk dat de functionaliteiten van de trojan in de toekomst worden uitgebreid”, legt Stefanko uit.
Een uitgebreide analyse van Android/TrojanDropper.Mapin en Android/Mapin is beschikbaar in de blogpost Trojan Drops in Despite Google’s Bouncer.
