Uit onderzoek blijkt dat sommige goedkope tablets verkocht zijn met ingebouwde malware, ook in België en Nederland. Het is geen klassieke besmetting die je even met een virusscanner verwijdert: de kwaadaardige code zit diep in de firmware verankerd.
Beveiligingsonderzoekers van Kaspersky, meer bepaald het SecureList-team, ontdekten dat bepaalde Android-tablets geleverd worden met de zogeheten Keenadu-malware. Die naam is binnen de securitywereld geen onbekende, maar de manier waarop de malware nu verspreid wordt, is dat wel.
Wat deze zaak zo problematisch maakt, is dat Keenadu niet als losse app op het toestel staat. De malware zit verwerkt in de firmware, de laag software die het toestel aanstuurt nog vóór je zelf apps installeert. Daardoor is ze vrijwel onzichtbaar voor gebruikers. Er verschijnt geen verdachte applicatie in het app-overzicht en ook standaard beveiligingsapps slaan niet meteen alarm.
De eerste signalen kwamen er pas nadat gebruikers vreemde DNS-verzoeken opmerkten. Die netwerkverzoeken bleken rechtstreeks te communiceren met infrastructuur die gelinkt is aan de malware. Dat was voor de onderzoekers het startschot om dieper te graven.
Uit het forensisch onderzoek blijkt dat de firmware al tijdens de ontwikkelingsfase geïnfecteerd raakte. De malafide code werd gekoppeld aan het bestand ‘libandroid_runtime.so’, een cruciale systeemcomponent binnen Android. Eenmaal actief injecteert Keenadu zichzelf in het zogeheten Zygote-proces van Android,het kernproces dat instaat voor het opstarten van apps. Wie daar toegang toe heeft, heeft in feite toegang tot zowat alles: gebruikersdata, systeemfuncties en de mogelijkheid om het toestel op afstand aan te sturen.
Volgens Kaspersky konden aanvallers via deze weg onder meer app-installaties monitoren om commissies op te strijken, advertenties manipuleren en eigen advertenties injecteren. Dat laatste valt onder advertentiefraude: een bekende techniek waarbij cybercriminelen inkomsten genereren door advertentiestromen om te leiden of te vervalsen.
Opvallend is dat de malware actief bleef, zelfs nadat de fabrikant het probleem erkende. Nieuwe firmwareversies bleken in sommige gevallen nog altijd de besmette code te bevatten. Dat alle firmwarebestanden ondertekend zijn met een geldig certificaat wijst er volgens de onderzoekers op dat externe hackers de firmware niet achteraf hebben aangepast. De besmetting lijkt dus eerder te zijn ontstaan binnen de toeleveringsketen of bij een partner tijdens de ontwikkeling.
In enkele gevallen werd de malware zelfs pas later op toestellen geïnstalleerd en stond ze dus niet standaard op het apparaat bij aankoop.
Tot nu toe is één model expliciet geïdentificeerd: de Alldocube iPlay 50 mini Pro. De fabrikant, Alldocube, gaf eerder al aan dat de firmware van een van zijn tablets besmet was, maar noemde toen geen specifiek model. De betrokken tablet werd ook in Europa verkocht, waaronder in België en Nederland. Nederland staat zelfs op de lijst van landen die het zwaarst getroffen zijn door deze infectie. Andere landen waar besmettingen vastgesteld werden, zijn Brazilië, Duitsland, Japan en Rusland.
Voor consumenten is dit een lastig scenario. Omdat de malware in de firmware zit, volstaat een fabrieksreset niet om het probleem te verhelpen. Zelfs het herinstalleren van het besturingssysteem biedt geen garantie als de firmware zelf besmet blijft. In zulke gevallen is de enige structurele oplossing een schone firmware-update van de fabrikant, op voorwaarde dat die effectief vrij is van de kwaadaardige code.
Deze zaak toont nog maar eens aan dat extreem goedkope Android-toestellen een risico kunnen vormen, zeker wanneer ze via minder transparante distributiekanalen worden verkocht. Wie veiligheid belangrijk vindt, kijkt dus beter niet alleen naar de prijs, maar ook naar de reputatie van de fabrikant en de ondersteuning die hij biedt.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
