Malware in Google Play Store installeert rootkit en kloont WhatsApp-sessie

[Captain Kirk]

Onderzoekers hebben in de Google Play Store tientallen malafide Android-apps met miljoenen downloads ontdekt die, door gebruik te maken van bekende kwetsbaarheden, een rootkit installeren en vervolgens de WhatsApp-sessie van het slachtoffer klonen. De rootkit is niet met een fabrieksreset te verwijderen, zo laat antivirusbedrijf McAfee in een analyse weten. De meer dan vijftig apps, die bij elkaar minstens 2,3 miljoen downloads hebben, doen zich voor als eenvoudige tools of games.

Eenmaal geïnstalleerd kijkt de malafide app of het Androidtoestel een bekende kwetsbaarheid bevat. Is dat het geval, dan wordt er een exploit gedownload waarmee vervolgens de rootkit wordt geïnstalleerd. Volgens de onderzoekers maken de exploits misbruik van kwetsbaarheden waar Google vanaf 2016 tot en met 2021 beveiligingsupdates voor uitbracht. Androidtoestellen met een patchniveau van 2021-05-01 zijn niet kwetsbaar voor de in totaal 22 exploits die de aanvallers toepassen.

In het geval de exploit succesvol is wordt de rootkit geïnstalleerd. Die overschrijft een belangrijke system library, waardoor elke app op de telefoon code van de aanvaller uitvoert. De rootkit-installer vervangt ook het onderdeel van Android dat zich met afhandelen van crashes bezighoudt. Daarnaast worden er recovery scripts geïnstalleerd en kopieert de rootkit zichzelf ook naar de systeempartitie. Als één onderdeel wordt verwijderd kan de rootkit zichzelf weer installeren.

Zodra de telefoon wordt herstart laadt de process launcher van Android de vervangen library, waardoor elke app meteen de code van de aanvaller uitvoert. De malware op de besmette telefoon maakt ook verbinding met de server van de aanvallers en wacht op nieuwe instructies. De aanvallers kunnen vervolgens allerlei payloads op het toestel uitvoeren. De onderzoekers van McAfee wisten één payload te identificeren. Deze payload kopieert de WhatsApp-encryptiedatabase, leest verschillende encryptiesleutels uit en steelt sessiegegevens. Met de gestolen keys en sessiedata kan de aanvallers de WhatsApp-sessie van het slachtoffer op een ander toestel klonen.

De onderzoekers merken op dat de rootkit lastig is te verwijderen. Omdat die zichzelf naar de systeempartitie kopieert zal die namelijk niet bij een fabrieksreset worden verwijderd. Een fabrieksreset wist gebruikersgegevens, maar laat de systeembestanden intact. De onderzoekers stellen dat de firmware van de telefoon opnieuw moet worden geïnstalleerd om de malware weg te krijgen. Na te zijn ingelicht heeft Google de malafide apps uit de Play Store verwijderd.

 

bron: https://www.security.nl