Onder andere Plants vs Zombies en Candy Crush ingezet om een backdoor trojan te verspreiden
Sliedrecht, 22 september 2015 - ESET heeft een interessante stealth cyberaanval op Android gebruikers ontdekt. Cybercriminelen hebben een backdoor trojan vermomd als populaire arcade games zoals Plants vs Zombies, Candy Crush en Super Hero.
Adventure om slachtoffers ongemerkt malware te laten installeren op hun Android smartphone of tablet. De malafide downloads waren beschikbaar in de officiële Google Play Store. In een blogpost op WeLiveSecurity.com analyseert ESET deze aanval in detail. De aanval bestaat uit twee delen. In een arcade game zit een zogeheten 'trojan dropper' verstopt. Dit is software waarmee een trojan op afstand kan worden ingeladen op een apparaat. De trojan dropper wordt op de apparaten geïnstalleerd als Android/TrojanDropper.Mapin, terwijl de trojan zelf wordt geïnstalleerd als Android/Mapin. De malware geeft cybercriminelen de mogelijkheid de controle over apparaten van slachtoffers volledig over te nemen. Het apparaat wordt vervolgens toegevoegd aan een botnet, een netwerk van geïnfecteerd apparaten die onder beheer staat van de aanvallers.
Timer maakt detectie moeilijker
Android/Mapin is voorzien van een timer, waardoor de trojan na installatie van een malafide app niet direct wordt geactiveerd. Deze timer maakt detectie van de trojan ingewikkelder, aangezien slachtoffers niet direct worden geconfronteerd met de malware na het openen van het geïnfecteerde spel. Slachtoffers weten dus niet direct wat de bron is van malware. Hierdoor kunnen zij moeilijker gerichte actie ondernemen om het probleem op te lossen.
ESET vermoedt dat de timer de reden is dat de malware in eerste instantie niet door Google is gedetecteerd en in verschillende varianten in de officiële Google Play Store is beland. "Sommige varianten van Android/Mapin worden pas na drie dagen volledig actief. Dit is waarschijnlijk één van de redenen waardoor de trojan dropper Google's antimalwaresysteem heeft weten te omzeilen", zegt Lukás Stefanko, een malware onderzoeker bij ESET.
Verstopt in meerdere games
De backdoor trojan is meerdere keren aangeboden in de officiële Google Play Store. Daarnaast is Android/Mapin ook aangeboden in verschillende alternatieve (onofficiële) appwinkels. De malware was vermomd als onder andere de games Plants vs zombies, Plants vs Zombies 2, Subway suffers, Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush en Racing Rivals. Eenmaal geïnstalleerd en geactiveerd is de trojan vermomd als een update voor Google Play of de applicatie 'Manage Settings'.
ESET waarschuwt dat de trojan nog in ontwikkeling is en in de toekomst dan ook nog gevaarlijker kan worden. "Niet alle functionaliteiten van de trojan zijn volledig geïmplementeerd. Het is mogelijk dat deze dreiging nog in ontwikkeling is en de functionaliteiten van de trojan in de toekomst worden uitgebreid", legt Stefanko uit.
Uitgebreide analyse
Een uitgebreide analyse van Android/TrojanDropper.Mapin en Android/Mapin is beschikbaar in de blogpost Trojan Drops in Despite Google's Bouncer op WeLiveSecurity.com.
Voor het persbericht als Word-bestand klik hier.
Over ESET
Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio van beveiligingsproducten is geschikt voor alle populaire platformen en biedt bedrijven en consumenten over de gehele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen, met regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Meer informatie is te vinden op www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.Voor meer informatie:
ESET Nederland
Dave Maasland
Managing Director ESET Nederland
T: +31 (0)184 647720
M: dave@eset.nl