Eater
Beveiligingsonderzoekers hebben een nieuwe vorm van ransomware ontdekt die Android-telefoons blokkeert en daarna dreigt bestanden te wissen als het losgeld niet betaald wordt. Dit meldt het beveiligingsbedrijf Zimperium in een recente analyse. De zogenaamde DroidLock-ransomware verspreidt zich via nepwebsites die gebruikers proberen te misleiden (phishing) en richt zich vooral op Androidgebruikers in Spanje.
Hoe werkt de malware?
Op screenshots die Zimperium heeft vrijgegeven, is te zien dat de malware zich voordoet als een app van de telecomprovider Orange. De besmetting begint met een zogenaamde “dropper”: dat is een app die, nadat je deze zelf hebt geïnstalleerd, de daadwerkelijke malware binnenhaalt.
Vervolgens vraagt de malware om speciale toestemming, namelijk:
- “Admin permission” (beheerrechten), die de app zeer brede controle over het toestel geeft.
- “Accessibility services permission” (toegankelijkheidsrechten), die normaal gesproken bedoeld is om apparaten toegankelijker te maken voor mensen met een beperking, maar die hier misbruikt wordt om extra controle te krijgen.
Wat kan DroidLock doen?
Met deze machtigingen kan DroidLock:
- Data van de telefoon wissen.
- De telefoon vergrendelen zodat de gebruiker niet meer binnen kan.
- De pincode, het wachtwoord of de biometrische beveiliging (zoals vingerafdruk of gezichtsherkenning) veranderen, zodat alleen de aanvaller toegang heeft.
Daarnaast kan de malware via de microfoon gesprekken afluisteren en schermopnames maken. Deze opnames worden naar de aanvallers gestuurd, wat leidt tot ernstige privacyrisico’s. Verder kan DroidLock informatie stelen die is gekopieerd naar het klembord (clipboard), sms-berichten lezen en ontgrendelpatronen achterhalen.
Het gevaarlijke aan deze ransomware
Het opvallendste van DroidLock is dat het jouw telefoon kan vergrendelen en een dreigbericht toont. Hierin staat dat je contact moet opnemen met de aanvallers om weer toegang te krijgen; anders zullen je bestanden worden gewist. Belangrijk om te weten is dat deze malware géén bestanden versleutelt zoals veel andere ransomware dat doet. In plaats daarvan kan het toestel helemaal worden geleegd (gewist), wat betekent dat alle gegevens verloren gaan.
Uitleg:
Ransomware is kwaadaardige software die toestellen of bestanden blokkeert en daarna om geld vraagt (losgeld) om ze weer vrij te geven. Bij DroidLock gebeurt dit op een Android-telefoon door het apparaat zelf te vergrendelen en de beveiliging te veranderen. Doordat de malware toegang vraagt tot uitgebreide rechten op je telefoon, kan het bijna alles ermee doen – van het wissen van data tot het bespioneren van jou. Het is daarom erg belangrijk om onbekende apps niet zomaar te installeren en voorzichtig te zijn met links van onbetrouwbare websites.
