Gisteren publiceerde een beveiligingsbedrijf een rapport over een nog nooit eerder vertoonde Android-malware genaamd Snowblind. Het zou misbruik maken van een ingebouwde Android-veiligheidsfunctie om detectie te voorkomen. De nieuwe techniek maakte alle moderne Android-apparaten en -apps er kwetsbaar voor. Google weerlegt de claim echter. In een verklaring aan Android Headlines zegt de Android-maker dat hij al op de hoogte was van de malware en er veiligheidsmaatregelen tegen heeft geïmplementeerd.
Google Play Protect kan Snowblind Android-malware detecteren en blokkeren
Snowblind is ontdekt door Promon, een beveiligingsprovider voor mobiele apps, en is een nieuwe malware voor Android-bankieren die het Android-systeem manipuleert om apps zonder detectie te compromitteren. Het valt de veiligheidstool van Android genaamd “seccomp” (veilig computergebruik) aan om veiligheidscontroles te omzeilen en heimelijk kwaadaardige activiteiten uit te voeren. De aanvallers kunnen inloggegevens en andere informatie stelen om ongeautoriseerde financiële transacties uit te voeren op geïnfecteerde apparaten.
Promon zei dat het nog nooit eerder had gezien dat “seccomp als aanvalsvector werd gebruikt”, waardoor Snowblind de eerste Android-malware in zijn soort is. Het bedrijf voegde eraan toe dat het niet verwacht dat veel apps er bescherming tegen zullen bieden. De beveiligingsprovider moedigde zijn klanten en andere app-ontwikkelaars aan om te upgraden naar Promon SHIELD-versie 6.5.2 of nieuwer om hun producten in de toekomst te beschermen tegen Snowblind en andere potentiële op seccomp gebaseerde beveiligingsaanvallen.
Kort nadat we bericht hadden over de ontdekking van Promon, nam Google contact op met de mededeling dat het op de hoogte was van Snowblind en zijn technieken. “We kunnen bevestigen dat we al vóór dit rapport op de hoogte waren van deze malware”, aldus het bedrijf in een verklaring per e-mail. Om voor de hand liggende redenen werd de naam van de malware niet vermeld: Promon gaf de naam Snowblind omdat het de eerste was die deze Android-banking-malware publiekelijk openbaarde, waarbij misbruik werd gemaakt van een systeemfunctie.
“Op basis van onze huidige detectie zijn er geen apps gevonden die deze malware bevatten op Google Play”, aldus de officiële verklaring. “Android-gebruikers worden automatisch beschermd tegen bekende versies van deze malware door Google Play Protect, dat standaard is ingeschakeld op Android-apparaten met Google Play Services. Google Play Protect kan gebruikers waarschuwen of apps blokkeren waarvan bekend is dat ze kwaadaardig gedrag vertonen, zelfs als die apps afkomstig zijn van bronnen buiten Play.”
Sneeuwblind is misschien niet zo gevaarlijk als het oorspronkelijk klonk
Het rapport van Promon suggereerde dat Snowblind een gevaarlijke malware is en dat de meeste Android-apps er niet tegen beschermd zijn. De verklaring van Google verduidelijkt echter de dreiging. Zolang de malware bestaat, blokkeert Google Play Protect automatisch zijn activiteiten en beschermt Android-gebruikers tegen alle bekende versies van Snowblind. Google Play Protect kan ook kwaadaardig gedrag detecteren in apps die van buiten de Play Store zijn geïnstalleerd. Het is echter altijd veiliger om alleen apps uit officiële winkels te downloaden.
