Terug van weggeweest! Deze keer met een update: de Godfather malware. Heb je een Android telefoon? Let dan goed op. Want deze gevaarlijke malware doet zich voor als een legitieme bankieren- of crypto app.
Wat doet de Godfather malware precies?
De Godfather malware is waarschijnlijk afkomstig van iemand uit de voormalige Sovjet-Unie. De maker “verhuurt” deze malware als “malware as a service”. De beveiliging van de Google Appstore is behoorlijk goed, maar het is criminelen enkele keren gelukt om een met de Godfather malware besmette app in de Playstore te publiceren. Eén van deze apps is Currency Converter Plus, van Technology Plus (deze app is ondertussen offline gehaald).
Zodra je een app met de malware aan boord installeert, installeert deze Godfather malware op je telefoon. Hiervoor vraagt de app toestemming voor ondersteuning voor functies van gehandicapten. Geef je die, dan geef je daarmee de app toestemming om de complete telefoon over te nemen. Nu kan de malware zichzelf alle benodigde toestemmingen geven en beginnen te communiceren met de C&C server van de maker.
Deze kan nu opdrachten geven aan de app en bijvoorbeeld wachtwoorden achterhalen. Eén van de toestemmingen die de app zichzelf geeft, is zichzelf over andere apps heen te projecteren. Zoals om een fake inlogscherm voor het echte inlogscherm van een bankierenapp te tonen. Je denkt dat je ingelogd bent bij je bank, maar in werkelijkheid ben je ingelogd bij de hacker, die nu jouw gegevens in handen heeft en je rekening kan plunderen.
Hoe bescherm ik mijzelf?
Om infectie met deze Godfather malware en andere schadelijke software te voorkomen, moet je enkele belangrijke gewoontes aanleren. Ten eerste, download alleen apps uit de Google Playstore. Bijna alle uitbraken van malware verlopen via apps die buiten de Google Playstore zijn gedownload. Hoewel de bescherming van Google niet volmaakt is, is deze wel behoorlijk goed.
Ook heel belangrijk is: check altijd of de app werkelijk afkomstig is van de bank of de crypto exchange waar deze voor bedoeld is. Als maar een paar honderd mensen de app hebben gedownload, terwijl een bank honderdduizenden klanten heeft, is dat een rode vlag. Dan heb je waarschijnlijk een nepversie te pakken.
Download altijd de laatste updates voor Android. Hiermee plug je veiligheidsproblemen, al zijn bij sommige, goedkopere merken de updates helaas nogal onregelmatig. In de nieuwste updates zit vaak een beveiliging die trojans, als de Godfather malware, de pas afsnijdt.
As een app wordt geïnstalleerd, check dan ook welke permissies deze vraagt. Als dat meer zijn dan de app nodig heeft om te werken, is dat een rode vlag. Een voorbeeld: toestemming vragen voor Microfoon is logisch voor een karaoke-app, maar zeer fout voor een screensaver.
Permissies die je in principe nooit moet geven zijn: weergeven voor andere apps, systeeminstellingen aanpassen en toegankelijkheid. Hiermee geef je een app namelijk totale controle over je telefoon.
Meer technische informatie over deze trojan vind je hier, bij Group IB.
[…] Apps die je downloadt uit niet-officiële app-stores kunnen er ook vol mee zitten, bijvoorbeeld met De Godfather-malware. Soms schakelt jailbreak je telefoon ook uit en kun je geen updates meer […]