35914913022
Malware_Is_Still_Spying_On_You_Even_When_Your_Mobile_Is_Off-Hero

Geschreven door AVG Signal Team
Gepubliceerd op September 14, 2018

Maar in 2015 ontdekte het AVG-team dat is gespecialiseerd in mobiele beveiligingstechnieken een nieuwe soort malware dat deze aanname op losse schroeven zet. Het is een soort spyware die bekend staat onder de naam Android/PowerOffHijack. Deze neemt het afsluitingsproces van de computer over, waardoor het lijkt alsof de computer uit staat terwijl deze nog steeds werkt.

Dit artikel omvat :

    The AVG Virus Lab is made of an advanced team of cybersecurity researchers

    De spyware dook voor het eerst op in China, verspreidde zich daar van de ene appstore naar de andere en infecteerde duizenden telefoons met Android-versies ouder dan v.5 (Lollipop). De malware kan het afsluitingsproces alleen kapen als gebruikers deze roottoegang geven.

    Nadat de gebruiker de aan-uitknop heeft ingedrukt, verschijnt er op de telefoon een echt aandoende afsluitingsanimatie. Daardoor lijkt het alsof de telefoon is uitgeschakeld. Maar de telefoon staat nog aan, ook al is het scherm zwart.

    Wanneer de telefoon in deze toestand verkeert, kan de spyware Android/PowerOffHijack uitgaande oproepen plaatsen, foto's maken en ongemerkt allerlei andere taken uitvoeren.

    Hoe werkt dat?

    Analyse van het afsluitingsproces in Android

    Wanneer u op Android-apparaten de aan-uitknop indrukt, roept de malware de functie interceptKeyBeforeQueueing aan. interceptKeyBeforeQueueing controleert of de aan-uitknop is ingedrukt en gaat dan verder met het volgende proces.

    The interceptKeyBeforeQueueing function in the Android mobile OS.Wanneer u de aan-uitknop loslaat, wordt interceptPowerKeyUp aangeroepen, dat weer een volgend uitvoerbaar proces start.

    Runnable code triggered by the interceptPowerKeyUp function in the Android mobile OS.Volgens het codefragment hierboven geeft de schakeloptie LONG_PRESS_POWER_GLOBAL_ACTIONS aan dat er bepaalde acties worden gestart wanneer de aan-uitknop wordt losgelaten. Met showGlobalActionsDialog wordt een dialoogvenster geopend waarmee u de telefoon kunt uitzetten, het geluid kunt uitschakelen of de vliegtuigmodus kunt activeren.

    Power off options within Android's shutdown procedure.Als u de optie uitschakelen kiest, roept de malware mWindowManagerFuncs.shutdown aan.

    The mWindowManagerFuncs.shutdown interface object in the Android mobile OS.

    Maar mWindowManagerFuncs is een interfaceobject, waarmee in werkelijkheid de afsluitingsfunctie ShutDownThread wordt aangeroepen. Het feitelijke afsluitingsproces wordt gestart met ShutDownThread.shutdown. Daarbij wordt eerst de radioservice afgesloten, waarna de energiebeheerservice wordt aangeroepen om de telefoon uit te schakelen.

    Ten slotte wordt in de energiebeheerservice een ingebouwde toestelfunctie aangeroepen om de telefoon uit te schakelen.

    The power manager service in the Android mobile OS.The native shutdown function in the Android mobile OS.Omdat mWindowManagerFuncs.shutdown de radioservices van de telefoon uitschakelt, moet malware die tot doel heeft het afsluitingsproces te kapen, ingrijpen voordat deze functie wordt geactiveerd. Eens kijken hoe Android/PowerOffHijack dit voor elkaar krijgt.

    Analyse van de malware

    Eerst vraagt Android/PowerOffHijack om roottoegang. Nadat de spyware die heeft gekregen, injecteert het programma het system_server-proces en haakt het aan bij het object mWindowManagerFuncs.

    Op dit punt verschijnt er in plaats van het authentieke Android-venster een nepversie wanneer u op de aan-uitknop drukt. En als u Afsluiten selecteert, volgt er een nep-afsluitingsanimatie. Daarbij blijft het toestel ingeschakeld, maar gaat het scherm op zwart.

    A portion of code demonstrating how Android/PowerOffHijack takes over an Android device's shutdown process.

    Ten slotte moeten ook enkele broadcastservices van het systeem worden gehookt om de indruk te wekken dat de mobiele telefoon daadwerkelijk uit staat.

    Een paar voorbeelden:

    Een gesprek opnemen

    Code showing how the Android/PowerOffHijack Android spyware records a call

    Privéberichten verzenden

    Code showing how the Android/PowerOffHijack Android spyware sends messages

    Spyware bestrijden met AVG AntiVirus voor Android

    Zelfs uiterst geniepige spyware als Android/PowerOffHijack is geen partij voor AVG AntiVirus voor Android. Onze uitgebreide mobiele beveiligingssoftware scant uw toestel om malware op te sporen en te verwijderen, en beschermt u bovendien tegen toekomstige aanvallen. Bescherm uw apparaten tegen spyware, virussen en andere malware, en beveilig uw gegevens bovendien tegen dieven van vlees en bloed met de ingebouwde functie Anti-Theft.

    Bescherm uw Android-apparaat tegen dreigingen met AVG AntiVirus

    Gratis installeren

    Bescherm uw iPhone tegen dreigingen met AVG Mobile Security

    Gratis installeren
    Beveiligingstips
    Beveiliging
    AVG Signal Team
    14-09-2018