Plotseling wordt er een Google Chrome-waarschuwing afgegeven voor alle Android-gebruikers

By | February 10, 2024

Google Chrome is ‘s werelds populairste browser. Dus als een “zeer gevaarlijke” frauduleuze update wordt betrapt op het stelen van privégegevens, berichten en foto’s, is dat een ernstige zorg.

Update van 10 februari hieronder, artikel oorspronkelijk op 9 februari. gepubliceerd.

Een alarmerend nieuw rapport van McAfee waarschuwt Android-gebruikers deze week om niet op nieuwslinks te klikken die Chrome-updates op hun apparaten installeren. Verborgen in deze downloads zit MoqHao-malware met een vervelende twist – een techniek die beveiligingsonderzoekers een nieuwe, “zeer gevaarlijke” techniek noemen.

“Terwijl de app is geïnstalleerd”, waarschuwen de onderzoekers, “starten de kwaadaardige activiteiten automatisch.” We hebben deze techniek aan Google gerapporteerd en zij werken al aan het implementeren van maatregelen om dit soort automatische uitvoering in een toekomstige Android-versie te voorkomen.

Deze kwaadaardige campagne verspreidt de MoqHao-malware via sms-berichten – met een andere twist. De bedreigingsactoren zijn korte URL’s van legitieme diensten gaan gebruiken omdat “het moeilijk is om het korte domein te blokkeren, omdat dit alle URL’s zou kunnen beïnvloeden die door die dienst worden gebruikt.” [But] Wanneer een gebruiker op de link in het bericht klikt, wordt hij door de URL-verkorterservice doorgestuurd naar de daadwerkelijke kwaadaardige website.”

Eenmaal geïnstalleerd vereist de frauduleuze Chrome-update uitgebreide gebruikersrechten, waaronder toegang tot sms, foto’s, contacten en zelfs de telefoon zelf. De malware is ontworpen om op de achtergrond te worden uitgevoerd, verbinding te maken met de command-and-control-server en toegang te krijgen tot de gegevens van en naar het beheerde apparaat naarmate er steeds meer schade wordt aangericht.

McAfee schrijft deze MoqHao (XLoader)-campagne toe aan de Roaming Mantis-groep, een bedreigingsactoren die doorgaans actief is in Azië. McAfee merkt echter op dat deze specifieke campagne zich ook lijkt te richten op gebruikers in Europa. Eén van de talen die in de campagne is geprogrammeerd is Engels, dus ook Amerikaanse gebruikers zijn binnen handbereik.

Als je goed kijkt, zie je dat het bericht Unicode-tekens gebruikt om gebruikers te laten denken dat het een legitieme Chrome-update is. “Deze techniek zorgt ervoor dat sommige tekens vetgedrukt lijken, maar gebruikers herkennen ze visueel als ‘Chrome'”, zegt McAfee, en waarschuwt ook dat “dit van invloed kan zijn op op app-namen gebaseerde detectietechnieken die app-namen (Chrome) en pakketnamen (com.android) gebruiken. ) vergelijk.” .Chrome).”

Het is pas februari en dit is de derde Android-malwarewaarschuwing van het jaar die de krantenkoppen haalt. We hebben VajraSpy, SpyLoan en Xamalicious gezien. We hebben ook een bredere waarschuwing gezien over copycat-apps die vergelijkbaar is met wat we hier zien. Specifiek hierover waarschuwt McAfee: “We verwachten dat deze nieuwe variant uiterst effectief zal zijn, omdat hij apparaten infecteert door simpelweg te installeren zonder deze uit te voeren.”

“Copycat-apps zijn eenvoudig te maken”, waarschuwt Jake Moore van ESET. “Het downloaden en installeren van een kwaadaardige app op je telefoon kan tot een aantal rampen leiden, waaronder diefstal van persoonlijke gegevens, het compromitteren van bankgegevens, slechte apparaatprestaties, opdringerige adware en zelfs spyware die je gesprekken en berichten afluistert.”

Zoals ik dit jaar herhaaldelijk heb gezegd, is de timing hier wellicht nog opmerkelijker dan de malware zelf: de Europese Digital Markets Act zorgt voor aanzienlijke veranderingen in de apps en platforms die we het meest gebruiken. En daar horen ook appstores bij.

Apple opent met tegenzin voor het eerst zijn eigen bedrijf, maar waarschuwt voor de gevaren voor gebruikers. “Hoewel deze nieuwe regelgeving nieuwe mogelijkheden biedt voor ontwikkelaars, introduceren ze ook nieuwe risico’s. Je kunt er niet omheen”, waarschuwde Phil Schiller van Apple, terwijl malware hoog op de lijst van deze zorgen stond.

De openstelling van Apple voor verhalen van derden zal zijn benadering van beveiliging direct vergelijken met die van Google, dat altijd veel minder restrictief is geweest en de keuze van de gebruiker promoot als een balans tussen beveiliging. Als Apple het aanbod aan appstores kan uitbreiden met behoud van de beveiliging, zal dat de bescherming van Android extra onder druk zetten.

MEER VAN FORBESWhatsApp bevestigt ineens zijn grootste upgrade ooit

In reactie op het McAfee-rapport vertelde een woordvoerder van Google mij dat “Android gelaagde beveiligingen heeft die gebruikers helpen veilig te houden”, en dat, zoals opgemerkt in het McAfee-rapport, “Android-gebruikers momenteel worden beschermd door Google Play Protect en u hiertegen beschermt. ” Dit is standaard ingeschakeld op Android-apparaten met Google Play Services. Google Play Protect kan gebruikers waarschuwen of apps blokkeren waarvan bekend is dat ze kwaadaardig gedrag vertonen, zelfs als die apps afkomstig zijn van bronnen buiten Play.”

Google bevestigde ook dat het samenwerkt met McAfee om deze nieuwe malwaredreiging te bestrijden, aangezien het bedrijf een van zijn App Defense Alliance-partners is.

Update 2/10:

Gezien de ernstige dreiging die wordt benadrukt in het McAfee-rapport waarbij gebruikers gevaarlijke apps en updates op hun apparaten downloaden, is het geen verrassing dat Google’s nieuw aangekondigde pilot om te voorkomen dat gebruikers gevaarlijke apps installeren of updaten steeds meer aandacht krijgt.

Sideloading zal het debat zijn dat dit jaar voortduurt. In zijn blogbericht Bij de aankondiging van zijn laatste stap erkende Google dat “het garanderen van de veiligheid van gebruikers in een open ecosysteem geavanceerde verdedigingsmiddelen vereist… onze gegevens laten zien dat een onevenredig aantal kwaadwillende actoren geselecteerde API’s en distributiekanalen in dit open ecosysteem exploiteren.”

Dat is precies wat we zagen in dit laatste McAfee-rapport. Het verbergen van malware in een app-update beperkt zich echter niet tot Google en Android, zoals we zojuist zagen bij een aanval op Apple-apparaten verborgen in een Visual Studio-update.

Wat Android betreft, geldt de waarschuwing van Google voor alle Android-gebruikers die bereid zijn de Play Store te verlaten om apps op hun apparaten te installeren. Zoals Google uitlegt: “Hoewel gebruikers de flexibiliteit hebben om apps uit vele bronnen te downloaden, kan de beveiliging van een app variëren, afhankelijk van de downloadbron.”

Om een ​​idee te geven van de omvang van het probleem waarschuwt Google dat de app-scan van Google Play Protect “515.000 nieuwe kwaadaardige apps heeft geïdentificeerd en meer dan 3,1 miljoen waarschuwingen of verboden voor die apps heeft afgegeven”. Koper let op.

De nieuwe pilot richt zich op financiële fraude en wordt uitgevoerd als onderdeel van een ‘strategisch partnerschap’ met de Cyber ​​Security Agency of Singapore (CSA).

“Cybercriminelen blijven investeren in geavanceerde financiële fraudeprogramma’s, waardoor consumenten meer dan 1 biljoen dollar aan verliezen lijden”, zegt Google. Daarom zal het “de installatie analyseren en automatisch blokkeren van apps die gebruik kunnen maken van gevoelige runtime-rechten die vaak worden misbruikt voor financiële fraude.” De gebruiker probeert de app te downloaden van een internet-sideloadingbron (webbrowser, berichten-apps of bestandsbeheerder ). installeren.”

De risicovolle toestemmingsverzoeken die Google heeft geïdentificeerd en blokkeert, worden ‘vaak misbruikt door oplichters om eenmalige wachtwoorden via sms of meldingen te onderscheppen en de scherminhoud te bespioneren.’ Gebaseerd op onze analyse van de belangrijkste families van oplichtingsmalware die deze misbruiken gevoelige runtime-rechten: “We ontdekten dat meer dan 95 procent van de installaties afkomstig was van sideloading-bronnen op internet.”

Dit is duidelijk hetzelfde dreigingsniveau dat we zagen bij de zelfuitvoerende MoqHao-malware, die ook tot doel heeft machtigingen veilig te stellen waarmee het gebruikersinhoud kan bespioneren en de sms- en andere connectiviteitsfuncties van het apparaat kan misbruiken.

Tijdens de pilot legt Google uit: “Als een gebruiker in Singapore probeert een applicatie te installeren vanaf een sideloading-bron op internet en een van deze vier machtigingen wordt gedeclareerd, blokkeert Play Protect de installatie automatisch met uitleg aan de gebruiker.”

Zoals McAfee in zijn eigen rapport over MoqHoo toegeeft: “Het is voor algemene gebruikers moeilijk om nep-apps met legitieme pictogrammen en applicatienamen te vinden, dus raden we gebruikers aan veilige software te installeren om hun apparaten te beschermen.”

Natuurlijk willen McAfee en andere beveiligingsleveranciers dat dit hun eigen software van derden is, maar de realiteit is dat dit het ecosysteem zelf als eerste verdedigingslinie moet zijn. Het zou niet zo eenvoudig moeten zijn om het apparaat van een gebruiker aan te vallen.

Als uw apparaat echter buiten de Play-beveiligingen van Google valt, moet u voor uw veiligheid zeker naar software van derden kijken, zoals McAfee of anderen.

MEER VAN FORBESJa, Telegram is een zeer ernstige bedreiging voor uw telefoon

Naast softwareverdediging zijn gezond verstand en best practices vereist. Het advies voor gebruikers blijft zeer, erg gewoon. Klik nooit op links zoals die in deze nieuwste campagne, onder geen enkele omstandigheid niet Installeer apps rechtstreeks via links. Dit stond centraal in de waarschuwing voor de copycat-app van ESET. U mag ook nooit akkoord gaan met toestemmingsverzoeken die niet centraal staan ​​in de specifieke functionaliteit van een app.

Dit zijn de gouden regels voor apps en updates:

  1. Houd u aan officiële appstores – gebruik geen winkels van derden en wijzig nooit de beveiligingsinstellingen van uw apparaat om het laden van een app toe te staan.
  2. Controleer de ontwikkelaar in de app-beschrijving. Is het iemand die je in je leven wilt? En kijk eens naar de recensies: zien ze er legitiem of kunstmatig uit?
  3. Geef een app geen rechten die hij niet nodig heeft: Zaklampen en sterrenkijk-apps hebben geen toegang nodig tot uw contacten en telefoon. En geef nooit toegangsrechten die het apparaatbeheer eenvoudiger maken, tenzij u dat nodig heeft.
  4. Nooit altijd Klik op links in e-mails of berichten waarmee apps of updates rechtstreeks worden gedownload. Gebruik altijd appstores voor installaties en updates.
  5. Installeer geen apps die linken naar gevestigde apps zoals WhatsApp, tenzij je zeker weet dat ze legitiem zijn. Controleer recensies en online berichten.

Volg mij Twitteren of LinkedIn.

Leave a Reply

Your email address will not be published. Required fields are marked *