Hoe flikken ze dat: inbreken op onze mobiele telefoons?

Zes vragen over aanvallen op Android

Onderzoekers hebben trucs ontdekt om op afstand met onze mobieltjes te telebankieren zonder dat we het merken. Dat klinkt link.

Foto Alamy

Criminelen kunnen kwaadaardige apps op Android-telefoons installeren. Dat komt door een beveiligingsprobleem bij Google. Onderzoekers van de Vrije Universiteit ontdekten het probleem, berichtte de Volkskrant zaterdag. Het probleem is groot: 85 procent van de nieuw geleverde smartphones draait op Android. Maar hoe werkt het precies? En wat kunnen gebruikers ertegen doen? Een technische uitleg in zes vragen.

De onderzoekers hacken eerst iemands internetbrowser. Hoe doen ze dat? En merken virusprogrammma's dat niet op?

Ze gebruiken een zogenaamde exploit, een stuk software dat misbruik maakt van een lek in een internetbrowser. Kwetsbaarheden in internetbrowsers worden permanent online gepubliceerd en werkende aanvalsmethoden staan gewoon online. De onderzoekers gebruikten een van die exploits, met succes. Met deze methode omzeilden ze virusscanners, die andere kwaadaardige bestanden wel kunnen opmerken (malware).

Er zijn ook andere manieren. Bijvoorbeeld door middel van een kwaadaardige plugin die de gebruiker nietsvermoedend zelf installeert. Of doordat iemand inlogt op een computer op een openbare plek waar zo'n browserplugin is geïnstalleerd. Deze methoden worden veel gebruikt door criminelen en door geavanceerde virussen, zoals het beruchte Zeus-virus en afgeleide varianten daarvan.

Vervolgens installeren ze zonder medewerking van de gebruiker een app op zijn mobiele telefoon. Dat doen ze via de Google Play-store. Kan dat zomaar?

Er zijn twee manieren om dit te doen. De onderzoekers plaatsten allereerst een app in de Google Play-store die heel weinig doet als hij (zonder dat de gebruiker daarvoor iets doet) geïnstalleerd wordt, behalve contact zoeken met een webserver. Dit is het beveiligingsprobleem van Google: het is mogelijk om vanuit iemands browser op afstand een simpele app op de bijbehorende telefoon te zetten.

Nadeel van deze methode is dat Android-gebruikers hiervoor de optie moet inschakelen dat het installeren van een app vanuit een externe bron mogelijk maakt. In de praktijk zien de onderzoekers dat veel mensen die optie hebben ingeschakeld. Er zijn zelfs banken die apps vanaf hun eigen website beheren en die hun klanten aanbevelen om 'installeren van een externe bron' aan te zetten.

Een tweede methode is een app zo te maken dat er geen alarmbellen afgaan bij Google. De onderzoekers beweren dat ze verschillende 'foute' apps in de Playstore hebben gezet die geen argwaan wekten maar in werkelijkheid malware bevatten.

Hoe kan het dat zo'n app echt actief wordt en malware installeert? Moeten gebruikers er niet eerst op klikken?

Door te klikken activeert een app, maar de onderzoekers vonden ook manieren om een app te activeren zonder dat deze aangeraakt werd. Zij deden dat bijvoorbeeld door alle bookmarks ('favorieten') in de internetbrowser onzichtbaar te vervangen door links die de app automatisch activeren zodra iemand ze gebruikt.

De onderzoekers laten ook zien dat ze een gebruikelijke app 'updaten' en vervangen door een kwaadaardige versie. In dit geval ging het om PayPal. Hoe werkt dat?

Daarbij zetten de onderzoekers Android-gebruikers op het verkeerde been. Die krijgen een mededeling dat een app 'geüpdate' moet worden, maar in feite de-installeren de onderzoekers de app en vervangen deze door een kopie met enkele foute eigenschappen die onzichtbaar zijn voor de gebruiker. Voor de-installeren is normaal gesproken toestemming van de gebruiker nodig, maar door dit te verpakken als een updateproces, lijkt het voor de gebruiker geen verdachte actie.

Ook kunnen de onderzoekers de verificatiecode onderscheppen van diensten als ING en DigiD. Hoe doen ze dat?

Dat is een koud kunstje. Omdat ze al in de internetbrowser zitten, kunnen ze daar alles doen wat de gebruiker ook kan. Wachtwoord en gebruikersnaam zijn daarmee in handen van de aanvaller. Als die via de browser een transactie verricht, wordt de verificatiecode gestuurd naar de telefoon en opgepikt door de malware die bij de kwaadaardige app hoort. Zo onderscheppen de onderzoekers de code.

Wat kunnen gebruikers van een Android-telefoon doen?

Zoals altijd is zorgvuldigheid en argwaan belangrijk. Verwijder direct apps die ongevraagd gedownload zijn. Controleer hiervoor regelmatig de meldingen om te zien of een onbekende app is geïnstalleerd. Zet ook de optie 'installeren van een externe bron' uit. Dit maakt het voor de aanvallers een stuk lastiger. Tot slot: bescherm ook de computer goed, want daar komen de criminelen voor het eerst binnen. Dus update altijd de internetbrowser, installeer geen plugins die er vreemd uitzien en gebruik een goede virusscanner.

Meer over