De meesten van ons hebben wel eens een film gezien waarin hackers mensen opsporen en bespieden via uitgeschakelde mobiele telefoons. En net als de meeste zaken in spionagefilms, doen wij dit idee af als fictie.
Maar in 2015 ontdekte het AVG-team dat is gespecialiseerd in mobiele beveiligingstechnieken een nieuwe soort malware dat deze aanname op losse schroeven zet. Het is een soort spyware die bekend staat onder de naam Android/PowerOffHijack. Deze neemt het afsluitingsproces van de computer over, waardoor het lijkt alsof de computer uit staat terwijl deze nog steeds werkt.
De spyware dook voor het eerst op in China, verspreidde zich daar van de ene appstore naar de andere en infecteerde duizenden telefoons met Android-versies ouder dan v.5 (Lollipop). De malware kan het afsluitingsproces alleen kapen als gebruikers deze roottoegang geven.
Nadat de gebruiker de aan-uitknop heeft ingedrukt, verschijnt er op de telefoon een echt aandoende afsluitingsanimatie. Daardoor lijkt het alsof de telefoon is uitgeschakeld. Maar de telefoon staat nog aan, ook al is het scherm zwart.
Wanneer de telefoon in deze toestand verkeert, kan de spyware Android/PowerOffHijack uitgaande oproepen plaatsen, foto's maken en ongemerkt allerlei andere taken uitvoeren.
Hoe werkt dat?
Wanneer u op Android-apparaten de aan-uitknop indrukt, roept de malware de functie interceptKeyBeforeQueueing aan. interceptKeyBeforeQueueing controleert of de aan-uitknop is ingedrukt en gaat dan verder met het volgende proces.
Wanneer u de aan-uitknop loslaat, wordt interceptPowerKeyUp aangeroepen, dat weer een volgend uitvoerbaar proces start.
Volgens het codefragment hierboven geeft de schakeloptie LONG_PRESS_POWER_GLOBAL_ACTIONS aan dat er bepaalde acties worden gestart wanneer de aan-uitknop wordt losgelaten. Met showGlobalActionsDialog wordt een dialoogvenster geopend waarmee u de telefoon kunt uitzetten, het geluid kunt uitschakelen of de vliegtuigmodus kunt activeren.
Als u de optie uitschakelen kiest, roept de malware mWindowManagerFuncs.shutdown aan.
Maar mWindowManagerFuncs is een interfaceobject, waarmee in werkelijkheid de afsluitingsfunctie ShutDownThread wordt aangeroepen. Het feitelijke afsluitingsproces wordt gestart met ShutDownThread.shutdown. Daarbij wordt eerst de radioservice afgesloten, waarna de energiebeheerservice wordt aangeroepen om de telefoon uit te schakelen.
Ten slotte wordt in de energiebeheerservice een ingebouwde toestelfunctie aangeroepen om de telefoon uit te schakelen.
Omdat mWindowManagerFuncs.shutdown de radioservices van de telefoon uitschakelt, moet malware die tot doel heeft het afsluitingsproces te kapen, ingrijpen voordat deze functie wordt geactiveerd. Eens kijken hoe Android/PowerOffHijack dit voor elkaar krijgt.
Eerst vraagt Android/PowerOffHijack om roottoegang. Nadat de spyware die heeft gekregen, injecteert het programma het system_server-proces en haakt het aan bij het object mWindowManagerFuncs.
Op dit punt verschijnt er in plaats van het authentieke Android-venster een nepversie wanneer u op de aan-uitknop drukt. En als u Afsluiten selecteert, volgt er een nep-afsluitingsanimatie. Daarbij blijft het toestel ingeschakeld, maar gaat het scherm op zwart.
Ten slotte moeten ook enkele broadcastservices van het systeem worden gehookt om de indruk te wekken dat de mobiele telefoon daadwerkelijk uit staat.
Een paar voorbeelden:
Zelfs uiterst geniepige spyware als Android/PowerOffHijack is geen partij voor AVG AntiVirus voor Android. Onze uitgebreide mobiele beveiligingssoftware scant uw toestel om malware op te sporen en te verwijderen, en beschermt u bovendien tegen toekomstige aanvallen. Bescherm uw apparaten tegen spyware, virussen en andere malware, en beveilig uw gegevens bovendien tegen dieven van vlees en bloed met de ingebouwde functie Anti-Theft.
Privacy | Kwetsbaarheid melden | Contact opnemen met beveiliging | Licentieovereenkomsten | Verklaring over moderne slavernij | Cookies | Toegankelijkheidsverklaring | Verkoop mijn gegevens niet | | Alle handelsmerken van derden zijn eigendom van hun respectieve eigenaren.
