Beveiligingsonderzoekers van Check Point hebben een nieuwe vorm van malware ontdekt in de Google Play Store die zich al heeft gericht op tienduizenden gebruikers van mobiele Android-apparaten.
De malware, Viking Horde genaamd, naar een populaire app op Google Play die het nabootst, is ontworpen om mobiele apparaten om te zetten in een botheap, een netwerk van machines die door hackers worden beheerd voor geldelijk gewin.
Volgens de onderzoekers die de malware voor het eerst ontdekten op de Google-appmarkt, is de malware moeilijk van een apparaat te verwijderen omdat het persistent is, wat betekent dat het op het apparaat van het slachtoffer blijft ondanks pogingen om het te verwijderen.
De onderzoekers onthulden ook de namen van apps in de Google Play Store die de malware bevatten, zoals de Viking Jump-game, die meer dan 100.000 downloads in de app store heeft bereikt en de markt in specifieke markten heeft geleid. Andere toepassingen die met de malware zijn geïnfecteerd, zijn Wi-Fi Plus, Parrot Copter en Memory Booster. Deze apps hebben lage beoordelingen in de Google Play Store, misschien omdat gebruikers merkten dat deze apps om aanvullende machtigingen hadden gevraagd, zoals rootrechten, toen ze probeerden de games en apps te downloaden en te installeren.
Na installatie heeft de app die de malware bevat echter toegang tot enkele functies van een apparaat waarmee aanvallers persoonlijke informatie kunnen stelen. In andere gevallen hebben gebruikers gemeld dat ze premium sms-berichten hebben ontvangen en zelfs een stortvloed aan sms hebben ontvangen in wat wordt beschouwd als een gedistribueerde denial-of-service-aanval. Ja, het kan ook gebeuren op mobiele apparaten.
Malware is schadelijker voor geroote Android-apparaten omdat het meer schadelijke componenten naar de telefoon downloadt, waardoor het voor antivirussoftware moeilijker wordt om malware te verwijderen. Het ergste is dat aanvallers op afstand code kunnen uitvoeren met behulp van de malware.
Buiten medeweten van de eigenaar van het geïnfecteerde apparaat, downloadt de malware verschillende van zijn componenten wanneer de app de game start, voor gaming-applicaties. Als het apparaat niet is geroot, worden de schadelijke componenten op de SD-kaart geïnstalleerd. De malware controleert ook of het apparaat is geroot, zodat het escalatierechten kan uitvoeren. De malware brengt vervolgens een proxyverbinding tot stand om uitvoering van externe code mogelijk te maken.
De geïnfecteerde apps staan op het moment van schrijven nog steeds in de Google Play Store en de zoekgigant moet de situatie nog aanpakken. Het botnet blijkt uit verschillende landen te komen, zoals Rusland, Spanje, Mexico en de Verenigde Staten.
