Hoe een valse reboot aanval voet aan de grond krijgt in het besturingssysteem van een smartphone

Gepubliceerd op 13 januari 2022 om 15:00

Om er absoluut zeker van te zijn dat uw telefoon u niet trackt of gesprekken afluistert, kunt u hem uitzetten. Dat lijkt logisch, want op die manier kan uw telefoon niets doen, zelfs niet als de telefoon geïnfecteerd is met ernstige spyware.

Bovendien is het uitschakelen of opnieuw opstarten van een smartphone een van de meest betrouwbare manieren om dergelijke infecties te bestrijden; in veel gevallen “leeft” spyware slechts tot de volgende herstart omdat het geen permanente voet aan de grond kan krijgen in het besturingssysteem. Tegelijkertijd zijn de kwetsbaarheden die malware in staat stellen om zelfs na een herstart te werken, zeldzaam en duur om uit te buiten.

NoReboot aanval

Het is echter goed mogelijk dat deze tactiek niet altijd toereikend zal zijn. Onderzoekers hebben een techniek bedacht om dit te omzeilen met een methode die ze NoReboot hebben genoemd. Deze aanval is in feite een valse reboot.

We willen van meet af aan opmerken dat NoReboot geen functie is van echte spyware die door aanvallers wordt gebruikt; het is eerder een zogenaamde proof of concept die onderzoekers onder laboratoriumomstandigheden hebben gedemonstreerd. Op dit moment is het moeilijk te zeggen of de methode werkelijk zal aanslaan.

Voor de demonstratie gebruikten de onderzoekers een iPhone die ze van tevoren hadden “geïnfecteerd”. Helaas hebben ze de technische details nog niet gedeeld. Dit is wat er in de demonstratie gebeurt:

  • De spionagemalware, die het beeld van de camera overbrengt, draait op de iPhone;
  • De gebruiker probeert de telefoon op de gebruikelijke manier uit te schakelen, met de aan/uit-knop en de volumeknop;
  • De malware neemt de controle over en toont een perfecte imitatie in plaats van het standaard iOS-afsluitscherm;
  • Nadat de gebruiker de uitschakelschuif heeft versleept, die er ook heel normaal uitziet, wordt het scherm van de smartphone donker en reageert de telefoon niet meer op de handelingen van de gebruiker;
  • Wanneer de gebruiker opnieuw op de aan/uit-knop drukt, toont de malware een perfecte kopie van de iOS-opstartanimatie.
  • Tijdens het hele proces brengt de telefoon het beeld van de frontcamera van de telefoon zonder medeweten van de gebruiker voortdurend over naar een ander apparaat.

Zoals zo vaak geldt: zien is geloven, en we raden aan de video van de onderzoekers te bekijken:

Hoe beschermen tegen NoReboot

Nogmaals, NoReboot is voorlopig alleen een demonstratie van de haalbaarheid van een aanval. De aanval is alarmerend, dat zeker, maar vergeet niet dat er eerst malware op een smartphone moet komen te staan voordat er daadwerkelijk schade kan worden aangericht. Hier vindt u een aantal tips om dat te voorkomen:

  • Houd er rekening mee dat het voor aanvallers veel moeilijker is om een smartphone op afstand te infecteren dan wanneer ze er fysiek toegang toe hebben. Zorg ervoor dat niemand anders uw smartphone in handen krijgt – vooral niet voor een langere periode – en installeer een betrouwbare apparaatvergrendeling.
  • Mensen installeren meestal uit eigen beweging en vrijwillig malware op hun smartphones. Wees voorzichtig met wat u downloadt en vermijd als algemene regel het installeren van onnodige apps – dat wil zeggen, apps waar u best zonder mee kunt leven.
  • Laat uw smartphone niet rooten of jailbreaken (tenminste als u niet al jaren *nix-systemen gebruikt). Supergebruikersrechten maken het werk van malware veel makkelijker.
  • Als u een Android-apparaat hebt, raden we aan om een een antivirusprogramma te installeren om te voorkomen dat trojans uw systeem binnenglippen.
  • Laat uw smartphone van tijd tot tijd een “natuurlijke dood” sterven – dat wil zeggen, wacht tot de batterij helemaal leeg is. De telefoon zal dan zeker opnieuw opstarten zonder enige vervalsing, en er is een uitstekende kans dat spionnen uit het systeem zullen verdwijnen. U kunt dit proces versnellen door een programma te gebruiken dat veel energie verbruikt, zoals een spel of een programma voor benchmarktests.

Bron: zecops.com, kaspersky.nl

Meer info over malware 

Bekijk alle vormen en begrippen

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws over malware

Muziek: Artiesten en nummers om malware te verspreiden

Kaspersky-beveiligingstechnologieën ontdekten een toename van 39% van aanvallen (pogingen om kwaadaardige bestanden te downloaden of uit te voeren) onder het mom van het werk van 'genomineerden in 2019, vergeleken met 2018'. Ariana Grande, Taylor Swift en Post Malone waren de favorieten van aanvallers, met deze genomineerden namen die het meest worden gebruikt in 2019 als vermomming voor malware.

Lees meer »

Kerstmis malware verspreidt zich snel

Het is tijd voor lelijke kersttruien - en voor lelijke spammails met een kerstthema. Een nieuwe malspam-campagne dumpt een e-mail in uw inbox met 'Christmas Party', 'Christmas Party volgende week', 'Partymenu', 'Vakantieschema' of iets dergelijks. Maar het bijgevoegde Word-document bevat een gevaarlijke malware: de beruchte Trojan-malware van Emotet.

Lees meer »

Nepkortingsbonnen McDonalds leiden naar bankmalware

Facebook gebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van 'McDonalds' die via het platform worden aangeboden. In plaats van een korting op een Big Mac, wacht er een infectie met bankmalware, die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.

Lees meer »

Bestandloze malware "Campagnes zonder infectie zijn moeilijk te detecteren"

Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes, die gebruikmaken van bestandsloze malware-aanvallen, zijn geanalyseerd door het Zscaler-ThreatlabZ-team.

Lees meer »

Malware apps in Appstore

Hoewel er behoorlijk wat apps bestaan die je leven een stuk spannender en aangenamer maken, zijn er helaas ook applicaties die het tegenovergestelde lijken te doen. Apple‘s App Store treft maatregelen om deze dubieuze apps te weren, maar kan niet voorkomen dat het soms mis gaat. Zo liet de beveiligingsfirma Wandera afgelopen donderdag weten dat zeventien apps in de App Store geïnfecteerd zouden zijn met clicker trojan malware. De geïnfecteerde apps zouden gebruikt worden om advertentiefraude te plegen door veelvuldig verbinding te maken met advertentienetwerken of websites.

Lees meer »

Nieuwe Malware ATTOR is compleet spionageplatform

Cybersecurity onderzoekers hebben een nieuw malware ontdekt dat onder andere het gebruik van de encryptiesoftware 'TrueCrypt' op besmette systemen monitort. De malware heet 'Attor' en wordt door antivirusbedrijf 'ESET' als een compleet spionageplatform omschreven.

Lees meer »

Face-App malafide? Zaklamp-App niet!?

Onlangs werd FaceApp veel besproken op internet, omdat het bedrijf erachter Russisch is en de app toestemming vraagt ​​voor toegang tot onder andere foto's. Het is duidelijk dat FaceApp niet kwaadaardig is, hoewel het geldige privacy kwesties oplevert. Is dit echter een speciaal geval of moeten we ons zorgen maken over alle apps die we gebruiken? Ik heb het niet over stalkerware-apps, maar over de miljoenen schijnbaar onschadelijke apps die te vinden zijn in de Google Play Store.

Lees meer »