Q1 2013: een ‘game changer’ voor Android-malware?

De reeks primeurs voor Android-malware die het eerste kwartaal van 2013 kenmerken, compliceert het Android bedreigingslandschap verder. Uit het Q1 Mobile Threat Report van F-Secure blijkt dat er voor het eerst ook Android-dreigingen zijn verspreid buiten apps om via e-mail spam, en dat de eerste gerichte Android-aanvallen en de eerste geavanceerde betalingsfraude scams hebben plaatsgevonden. Verder komen ook steeds meer voorbeelden van commoditisering van Android-malware aan het licht.

Het aantal nieuwe mobiele dreigingsvarianten blijft stijgen, ditmaal met 49% ten opzichte van het vorige kwartaal (van 100 tot 149). 136 hiervan (91.3%) waren op Android en 13 (8.7%) op Symbian. De aantallen van het eerste kwartaal van 2013 zijn ruim twee keer zo hoog als een jaar geleden, het eerste kwartaal van 2012, toen 61 nieuwe varianten werden ontdekt. 

De nieuwe technieken op Android zijn reden tot zorg, aldus Sean Sullivan, Security Advisor bij F-Secure Labs. “Laat ik het als volgt stellen: tot nog toe heb ik me niet druk gemaakt om mijn moeder met haar Android, want ze gebruikt geen apps. Nu maak ik me echter, dankzij zaken als Stels waarmee Android-malware wordt verspreid via spam, wel zorgen. Mijn moeder checkt haar e-mail namelijk op haar telefoon.”

“De Android-trojan die bekend staat als Stels, werd verspreid via nagemaakte e-mails met een U.S. Internal Revenue Service thema, waarna met een Android-crimeware kit gevoelige informatie van het apparaat werd gestolen. Deze werd vervolgens gebruikt om geld te verdienen door te bellen naar betaalnummers. Dit voorbeeld van mobiele malware commoditisering zou een game changer kunnen zijn,” volgens Sullivan.

In Q1 werden ook de eerste gerichte aanvallen in de mobiele ruimte waargenomen. Tibetaanse mensenrechten activisten werden aangevallen door middel van e-mails die een door Android-malware geïnfecteerde bijlage bevatten, en een zogenoemde ‘coupon app’ voor een populaire keten van koffietenten steelt informatie van telefoons met een Zuid-Koreaanse landcode.

Mobiele telefoons worden ook aangevallen in India, zoals bewezen door de ontdekking van de eerste geavanceerde betalingsfraude op Android. Via een nep ‘vacature-app’ voor Android wordt de gebruiker geïnformeerd over een baan die hem wordt aangeboden bij de TATA Group, een multinational uit India. Om een sollicitatiegesprek te regelen, vraagt de app om de betaling van een borg.

F-Secure Labs telt het aantal verschillende varianten van malware in plaats van op het aantal unieke gevallen. Om detectie van hun malware te voorkomen, doen cybercriminelen automatisch kleine veranderingen aan de code van hun malware. Hierdoor ontstaan veel nieuwe gevallen van malware, hoewel ze wel nog steeds tot dezelfde familie of variant behoren. Het tellen van varianten in plaats van unieke gevallen levert een realistischer beeld op van het aantal dreigingen.