Alle bedrijven wereldwijd kregen vorig jaar te maken met een aanval van mobiele malware. Mobiele malware is een belangrijk aandachtspunt geworden, zowel voor consumenten als voor organisaties. Hoewel er al veel is geschreven over welke mobiele malware vaak voorkomt en hoe de verschillende varianten te werk gaan, is het essentieel te begrijpen waarom hackers ervoor kiezen om hun aanvallen vooral te richten op mobiele toestellen. Om die vraag te beantwoorden moeten we eerst bekijken wie die mobiele malware maakt en ermee werkt.
Over het algemeen zijn de makers van mobiele malware in vier groepen in te delen. De eerste – en meest geavanceerde-– groep zijn de ontwikkelaars voor overheden, die malware maken met het oog op het verzamelen van inlichtingen, zoals de CIA-tools in het Vault 7-lek. De tweede groep leunt aan bij de ontwikkelaars voor overheden, maar is meer gericht op spionage, waarbij de malware dient om te spioneren voor regeringen en organisaties wereldwijd. De NSO Group, de fabrikant van cyberwapens die achter de Pegasus-malware zat, is daar een perfect voorbeeld van, met de Mexicaanse regering als één van de vermoedelijke klanten. De derde groep richt zich op persoonlijke spyware, vermomd als tools voor ouderlijk toezicht, gewoonlijk privé-gebruikers die andere persoonlijke toestellen willen monitoren. Tot slot hebben we de ‘gewone’ cybercriminelen, die ‘gewone malware’ maken en zo op een oneerlijke manier geld willen verdienen.
De verschillende groepen sluiten elkaar niet noodzakelijk uit en er zijn veel mogelijke links op basis van gelijkenissen in hun tactieken, technologieën en zelfs volledige stukken code. Het grootste verschil tussen die groepen ligt echter in hun motieven. Dat kunnen we afleiden als we hun aanvallen analyseren.
Terwijl malware voor overheden en andere spyware worden ontwikkeld voor het verzamelen van inlichtingen en daarom discreet moeten werken om niet te worden ontdekt, kondigen inkomsten genererende malware, zoals ransomware, vaak hun aanwezigheid aan.
Mobiel toestel doelwit
Het mobiele platform is een zeer gemakkelijk doelwit voor malwareontwikkelaars die willen spioneren en/of geld willen verdienen. De reden hiervoor is eenvoudig: gemak. De meeste mobiele gebruikers hebben namelijk geen beveiliging op hun toestel of upgraden hun besturingssysteem niet om zo beveiligingspatches te installeren. De meeste mensen doen hun deuren ‘s nachts op slot en kopen antivirussoftware voor hun computers, maar doen dat meestal niet voor hun smartphones. Mobiele toestellen vormen dan ook een gemakkelijk doelwit voor aanvallers, die vaak met primitieve technieken al toegang kunnen krijgen.
Doordat er 2,1 miljard mobiele gebruikers zijn, waarvan een vierde meer dan één toestel heeft, bieden aanvallen op mobiele toestellen ook het voordeel van een groot bereik. Of het nu gaat om het genereren van inkomsten uit frauduleuze reclame of een DDoS-aanval, mobiele malware werkt pas als een groot aantal geïnfecteerde toestellen een bepaald mechanisme uitvoert. Het schaalvoordeel dat mobiele toestellen opleveren is dan ook heel aantrekkelijk voor cybercriminelen.
Bovendien wordt een telefoonnummer niet beschouwd als zeer vertrouwelijke informatie, waardoor spionagegroepen makkelijk het telefoonnummer van een potentieel doelwit kunnen opsporen. Met die informatie kunnen ze het toestel exact lokaliseren om pogingen tot phishing te ondernemen tegen de gebruiker en zo zeer efficiënt informatie te verzamelen.
Tot slot kan een geïnfecteerd mobiel toestel veel meer schade aanrichten dan een geïnfecteerde computer. Malware die gericht is op mobiel bankieren kan bijvoorbeeld de toegang tot inkomende oproepen en sms’jes gebruiken om beveiligingsoplossingen met two-factor-authenticatie te omzeilen. Een ander voorbeeld: geïnfecteerde mobiele toestellen zijn de ultieme wapens voor spionage, aangezien gebruikers hun smartphones – met een microfoon en camera die kunnen worden gehackt – overal mee naartoe nemen, waardoor hackers het doelwit voortdurend kunnen volgen zonder dat die het weet.
Onthouden!
Mobiele toestellen zijn een makkelijk doelwit voor professionele hackers en criminelen. Ze zijn gemakkelijk te hacken, vormen het perfecte platform voor zowel specifieke als massale aanvallen en bieden hackers mogelijkheden waar ze vroeger alleen van konden dromen. Mobiele malware is daarom niet alleen een zeer actueel probleem, maar kan in de toekomst een nog veel groter probleem worden.
Toch wel apart. Een van de manieren om hacken te voorkomen is het toepassen van veiligheidsupdates. Alleen: als ik een Samsung telefoon heb krijg ik (zoals veel geberuikers) voor mijn toestel geen updates meer. Sommige toestellen die nog in de winkel liggen worden al niet meer ge-update. Toch worden ze nog steeds verkocht. En toestellen die wél up-to-date zijn worden afgeraden. Mijn Microsoft Lumia is een paar dagen geleden nog voorzien van updates. En iedereen verklaart mij voor gek dat ik dat normaal vind, maar dat ik niet snap dat banken er geen actuele apps voor maken.
Misschien is het verstandig om het risico concreet te maken. Het risico van infecties van smartphones is nagenoeg nihil. Boude uitspraak, maar laat ik die even toelichten. In het artikel wordt op geen enkele manier uitgelicht hoe een smartphone geïnfecteerd kan raken. En die mogelijkheid is betrekkelijk beperkt. Noch de smartphone, noch de apps kunnen zomaar geïnfecteerd raken. Het hele beheermechanisme van de fabrikant van het toestel of het operating system is erop gericht om alleen betrouwbare spullen te kunnen gebruiken. Dus de apps in de app stores en play stores zijn betrouwbaar. Er zit soms wat rotzooi tussen, maar enkele tientallen op de vele honderdduizenden apps in de app stores is verwaarloosbaar. Apple en Google hebben hun beveiliging best wel goed voor elkaar… (http://www.zdnet.com/article/android-malware-in-google-play-racked-up-4-2-million-downloads-so-are-you-a-victim/ – leuk, in dat artikel wordt verwezen naar het bedrijf van de auteur)
Hoe goed de beveiliging van smartphones is: minder dan 1% van de toestellen is besmet: http://www.zdnet.com/article/android-vs-ios-vs-windows-which-suffers-most-infections-nokia-reveals-all/
Hoe smartphones dan in de regel geïnfecteerd raken? Als de gebruikers ervan zelf (!) hun device ‘rooten’ of ‘jailbreaken’, of als ze zelf (!) besluiten om ook apps van niet geverifieerde bronnen te installeren.
Ik moet dit artikel dus classificeren als FUD, het verspreiden van Fear, Uncertainty & Doubt, ofwel angst, onzekerheid en twijfel. Helaas wordt dat teveel gebruik in securitykringen. De belangrijkste les: laat gebruikers liever weten hoe ze infectie kunnen voorkomen door juist niets te doen, dus niet rooten of jailbreaken en juist geen apps van onbetrouwbare bronnen te installeren.