Een nieuwe trojan richt zijn pijlen op Microsoft Phone Link, de app waarmee je je smartphone aan je Windows-pc koppelt. Volgens onderzoekers van Cisco Talos gebruikt de malware een kwaadaardige plugin om gevoelige gegevens te onderscheppen zodra Phone Link actief is. Het gaat onder meer om wachtwoorden, sms-berichten en mogelijk zelfs eenmalige verificatiecodes.
De malwarecampagne draait volgens Cisco al sinds januari en toont vooral hoe riskant synchronisatie tussen apparaten kan worden zodra één toestel besmet raakt. Phone Link staat standaard op Windows 10 en Windows 11 en heette vroeger simpelweg ‘Your Phone’. De app laat je een Android-smartphone of iPhone koppelen aan je pc via wifi en bluetooth.
Daarmee kan je onder meer oproepen beantwoorden, sms’jes lezen en beantwoorden, meldingen ontvangen en (in het geval van Android) ook foto’s bekijken en delen vanaf je computer. Net die constante koppeling tussen smartphone en pc maakt Phone Link handig, maar dus ook interessant voor aanvallers.
De malware in kwestie heet CloudZ en is een zogeheten Remote Access Trojan, of kortweg RAT. Dat type malware geeft aanvallers op afstand toegang tot een besmet systeem en wordt vaak gebruikt om data te stelen of gebruikers te bespioneren. CloudZ draait als een .NET-programma op Windows en is gebouwd om detectie zo moeilijk mogelijk te maken. De malware verbergt zijn code, ontwijkt analyse en maakt verbinding met een command-and-controlserver van waaruit instructies worden doorgestuurd.
Het gevaarlijkste onderdeel is een plug-in met de naam Pheno. Die module houdt continu in de gaten of Microsoft Phone Link actief is. Zodra dat gebeurt, probeert CloudZ de lokale SQLite-database van de app te onderscheppen. Via die omweg kan de malware gevoelige data opvangen terwijl die van je smartphone naar je pc wordt doorgestuurd. Denk aan opgeslagen log-ins, sms-berichten en mogelijk ook eenmalige inlogcodes voor tweestapsverificatie.
Belangrijk om te weten: CloudZ maakt geen misbruik van een lek in Phone Link zelf. De malware gebruikt legitieme Windows-processen om data te onderscheppen, een techniek die steeds vaker opduikt bij spyware en infostealers. Dat maakt deze aanval net verraderlijk. Niet je smartphone wordt rechtstreeks gehackt, maar de koppeling tussen je telefoon en je pc wordt misbruikt om gevoelige informatie af te vangen. Wie vertrouwt op sms-codes of tweestapsverificatie als extra beveiligingslaag, moet dus beseffen dat die bescherming weinig waard wordt zodra een besmette pc mee in de keten zit.
Cisco Talos weet nog niet exact hoe CloudZ systemen binnenkomt, maar in onderzochte gevallen deed de malware zich voor als een update voor ScreenConnect. Dat past in een klassiek patroon: malware die zich voordoet als legitieme software. De belangrijkste les is dan ook eenvoudig: download software alleen via officiële bronnen. Vermijd cracks, vage downloadsites en links uit mails of sociale media. Dat blijft een van de populairste manieren waarop trojans op systemen belanden.
Ook realtime bescherming via antivirussoftware blijft belangrijk, net als regelmatige scans van zowel je pc als je smartphone. Want zodra één toestel besmet is, wordt de brug naar je andere apparaten plots een pak minder veilig. Wie Phone Link gebruikt, hoeft de app niet meteen te verwijderen. Maar deze aanval toont wel nog eens aan dat synchronisatie tussen toestellen handig is, zolang beide kanten van die verbinding ook echt schoon blijven.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
