In de Amazon Appstore is een kwaadaardige Android-spyware-applicatie ontdekt, genaamd ‘BMI CalculationVsn’, die zich voordoet als een gezondheidstool en tegelijkertijd heimelijk gegevens van gebruikers steelt. Deze applicatie was geïdentificeerd door onderzoekers van McAfee Labs, die Amazon onmiddellijk op de hoogte brachten, wat resulteerde in verwijdering uit de winkel. Gebruikers die de app eerder hebben geïnstalleerd, moeten deze echter handmatig verwijderen en een volledige scan uitvoeren om ervoor te zorgen dat de spyware volledig wordt uitgeroeid.
Schadelijke spyware-app ontdekt in de Amazon Appstore
De BMI CalculationVsn-applicatie, uitgegeven door ‘PT Visionet Data Internasional’, probeert zichzelf te presenteren als een eenvoudige body mass index (BMI)-calculator. Gebruikers komen een ogenschijnlijk eenvoudige interface tegen waarmee ze hun gewicht en lengte kunnen invoeren om hun BMI te berekenen; Er worden echter nog meer kwaadaardige functies op de achtergrond uitgevoerd.
Bij activering van de app start deze een schermopnameservice, waarbij toestemming wordt gevraagd wanneer de gebruiker op de knop ‘Bereken’ klikt. Deze tactiek kan gebruikers misleiden om reflexgoedkeuringen te verlenen. Hoewel uit het onderzoek van McAfee bleek dat de opgenomen video lokaal is opgeslagen als een MP4-bestand, is deze niet geüpload naar de command and control (C2)-server. Deze vermijding is waarschijnlijk te wijten aan het feit dat de app zich nog in een ontwikkelingsfase bevindt.
Nader onderzoek naar de geschiedenis van de app wees uit dat de app voor het eerst verscheen op 8 oktober, met wijzigingen aan het pictogram, de toevoeging van verdere kwaadaardige functionaliteiten en updates van de certificaatinformatie tegen het einde van de maand.
Functionaliteiten en maatregelen voor gegevensdiefstal
De Mickey CalculationVsn-app houdt zich bezig met verschillende schadelijke activiteiten die zijn ontworpen om de gebruikersveiligheid in gevaar te brengen. Naast het opnemen van het scherm, scant het het apparaat ook op andere geïnstalleerde applicaties, waardoor aanvallers hun volgende stappen kunnen bepalen op basis van de opgehaalde informatie. Dankzij deze mogelijkheid kunnen ze doelgebruikers effectiever identificeren.
Bovendien onderschept en verzamelt de spyware sms-berichten die op het apparaat zijn opgeslagen, waardoor mogelijk eenmalige wachtwoorden (OTP’s) en verificatiecodes kunnen worden vastgelegd. De onderschepte sms-gegevens worden vervolgens geüpload naar een Firebase-opslagbucket, wat duidelijk aangeeft dat er een gecoördineerde inspanning is geleverd om gevoelige gebruikersinformatie te extraheren.
Het BADBOX-botnet infecteert wereldwijd meer dan 192.000 Android-apparaten
Er wordt nog steeds aan de app gewerkt, aangezien uit onderzoek naar eerdere voorbeelden blijkt dat deze zich nog in de testfase bevindt. Uit de code-inspectie bleek dat de oorspronkelijke versie werd gelanceerd als een app voor schermopname, die later in functionaliteit werd getransformeerd toen het pictogram werd gewijzigd in dat van een BMI-calculator.
De ontwikkelaar van BMI CalculationVsn opereert onder de naam ‘PT Visionet Data Internasional’, wat misbruik lijkt te maken van de reputatie van een legitieme zakelijke IT-beheerdienstverlener in Indonesië. Dit suggereert dat de maker van de malware een technische achtergrond heeft en mogelijk inzicht heeft in de principes van softwareontwikkeling.
In het licht van deze ontdekking wordt gebruikers geadviseerd waakzaam te blijven bij het downloaden van apps uit de Amazon Appstore, die, als alternatief voor Google Play, apps kan hosten die de traditionele beveiligingsmaatregelen omzeilen. Voorzorgsmaatregelen waarmee u rekening moet houden, zijn onder meer het installeren van vertrouwde antivirussoftware, het nauwgezet controleren van de gevraagde app-machtigingen en het alert zijn op ongewoon apparaatgedrag dat op kwaadaardige activiteiten kan duiden.
Ondanks het verwijderen van de app uit de Appstore blijven de risico’s voor gebruikers die de app hebben geïnstalleerd bestaan.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
