Sliedrecht, 22 augustus 2019 – ESET-onderzoekers hebben de eerste bekende gevallen ontdekt van spyware gebaseerd op de open-source spionagetool AhMyth. Deze specifieke spyware deed zich voor als een internetradio-app die zeer specifieke muziek uit Beloetsjistan (een landstreek op grondgebied van Pakistan, Iran en Afghanistan) speelde; de spionagefunctionaliteiten kunnen echter eenvoudig ook voor een andere soort app worden gebruikt.
AhMyth, waarvan de internetradio-app zijn kwaadaardige functionaliteiten leende, werd eind 2017 publiek beschikbaar gemaakt. Sindsdien zijn verschillende kwaadaardige apps gebaseerd op AhMyth verschenen. De bovengenoemde app, genaamd Radio Balouch, is echter de eerste van die apps die zijn weg heeft gevonden naar de officiële Android-appstore, Google Play.
ESET Mobile Security voor Android beschermt gebruikers tegen AhMyth en afgeleiden daarvan al sinds januari 2017 – voordat AhMyth publiek beschikbaar werd. “De kwaadaardige functionaliteit van AhMyth wordt niet verborgen, beschermd of verduisterd. Daarom is het niet heel moeilijk om de Radio Balouch-app – en soortgelijke – te identificeren als kwaadaardig en toebehorend aan de AhMyth-familie,” zegt Lukás Štefanko, malwareonderzoeker bij ESET en leider van dit onderzoek.
Nadat ESET de ontdekking aan Google rapporteerde, heeft diens securityteam de Radio Balouch-app uit de store verwijderd. De aanvallers hebben de app echter snel opnieuw aangemeld in de Google Play store. “We hebben ook de tweede keer de aanwezigheid van de malware gedetecteerd en gerapporteerd, waarop de app wederom snel werd verwijderd. Wat wel zorgwekkend is, is het feit dat dezelfde app-ontwikkelaar in staat was deze overduidelijke malware meerdere keren in de store te uploaden.”
Radio Balouch, door ESET gedetecteerd als Android/Spy.Agent.AOX, werd gepromoot op een speciale daarvoor bestemde website, Instagram en YouTube. Nadat het van Google Play is gehaald, is de app alleen nog beschikbaar via alternatieve appstores.
De app is een volledig functionerende internetradio-applicatie voor muziek uit Beloetsjistan. Vanaf de achtergrond bespiedt het zijn gebruikers: de app kan contacten stelen en bestanden van het getroffen apparaat halen. “Er zijn verschillende varianten van deze open-source AhMyth-spionagetool en de functionaliteiten kunnen per variant verschillen. Het is mogelijk dat de Radio Balouch-app – en andere malware gebaseerd op AhMyth – in de toekomst nieuwe functionaliteiten erbij krijgen,” waarschuwt Štefanko.
Volgens ESET-onderzoekers dient de herhaaldelijke aanwezigheid van deze kwaadaardige app in de Google Play store als een signaal aan zowel Googles securityteam als Androidgebruikers. “Tenzij Google betere beveiligingsmaatregelen treft, kan een nieuwe kloon van Radio Balouch of een andere AhMyth-afgeleide opnieuw op Google Play verschijnen,” voegt Štefanko toe. “De belangrijkste securitytip – om alleen apps van officiële bronnen te vertrouwen – houdt nog steeds stand; dat alleen is echter geen garantie op veiligheid. We raden gebruikers aan kritisch te zijn over elke app die ze op hun apparaat willen installeren en om een erkende mobiele beveiligingsoplossing te gebruiken,” concludeert hij.
Lees voor meer informatie de blog “First-of-its-kind spyware sneaks into Google Play” op WeLiveSecurity.com.
Over ons
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awardsheeft verdiend, waarmee elke afzonderlijke "in-the-wild" malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.