Malware in Google Play Store installeert rootkit en kloont WhatsApp-sessie

In dit artikel:

Onderzoekers van McAfee ontdekten tientallen schadelijke Android-apps in de Google Play Store — samen goed voor minimaal 2,3 miljoen downloads — die via bekende, oudere lekken een hardnekkige rootkit installeren en vervolgens WhatsApp-sessies kunnen klonen. De apps verborgen zich als ogenschijnlijk onschuldige tools en games; eenmaal geïnstalleerd controleren ze of het toestel kwetsbaar is en downloaden bij succes een exploit die de rootkit plaatst.

De aanvallers benutten in totaal 22 exploits die misbruik maken van kwetsbaarheden waarvoor Google tussen 2016 en 2021 patches uitgaf. Apparaten met een patchniveau van 1 mei 2021 of nieuwer zijn volgens McAfee niet vatbaar. De rootkit overschrijft een cruciale systeemlibrary en het crash-afhandelingsonderdeel, installeert recovery-scripts en kopieert zichzelf naar de systeempartitie, waardoor hij persistent blijft — een fabrieksreset verwijdert de backdoor niet. Bij herstart laadt Android de vervangende library en draait elke app vervolgens aanvallerscode; de malware verbindt met een command-and-control-server en kan payloads uitvoeren. Eén geïdentificeerde payload kopieert WhatsApp’s versleutelde database en sleutels om sessiegegevens te stelen en een account op een ander toestel te klonen.

Na melding heeft Google de kwaadaardige apps uit de Play Store verwijderd. McAfee waarschuwt dat geïnfecteerde toestellen alleen schoon worden door de firmware volledig opnieuw te installeren; gebruikers wordt aangeraden hun Android-beveiligingspatches actueel te houden en voorzichtig te zijn met onbekende apps.