Hoe een valse reboot aanval voet aan de grond krijgt in het besturingssysteem van een smartphone

Gepubliceerd op 13 januari 2022 om 15:00

Om er absoluut zeker van te zijn dat uw telefoon u niet trackt of gesprekken afluistert, kunt u hem uitzetten. Dat lijkt logisch, want op die manier kan uw telefoon niets doen, zelfs niet als de telefoon geïnfecteerd is met ernstige spyware.

Bovendien is het uitschakelen of opnieuw opstarten van een smartphone een van de meest betrouwbare manieren om dergelijke infecties te bestrijden; in veel gevallen “leeft” spyware slechts tot de volgende herstart omdat het geen permanente voet aan de grond kan krijgen in het besturingssysteem. Tegelijkertijd zijn de kwetsbaarheden die malware in staat stellen om zelfs na een herstart te werken, zeldzaam en duur om uit te buiten.

NoReboot aanval

Het is echter goed mogelijk dat deze tactiek niet altijd toereikend zal zijn. Onderzoekers hebben een techniek bedacht om dit te omzeilen met een methode die ze NoReboot hebben genoemd. Deze aanval is in feite een valse reboot.

We willen van meet af aan opmerken dat NoReboot geen functie is van echte spyware die door aanvallers wordt gebruikt; het is eerder een zogenaamde proof of concept die onderzoekers onder laboratoriumomstandigheden hebben gedemonstreerd. Op dit moment is het moeilijk te zeggen of de methode werkelijk zal aanslaan.

Voor de demonstratie gebruikten de onderzoekers een iPhone die ze van tevoren hadden “geïnfecteerd”. Helaas hebben ze de technische details nog niet gedeeld. Dit is wat er in de demonstratie gebeurt:

  • De spionagemalware, die het beeld van de camera overbrengt, draait op de iPhone;
  • De gebruiker probeert de telefoon op de gebruikelijke manier uit te schakelen, met de aan/uit-knop en de volumeknop;
  • De malware neemt de controle over en toont een perfecte imitatie in plaats van het standaard iOS-afsluitscherm;
  • Nadat de gebruiker de uitschakelschuif heeft versleept, die er ook heel normaal uitziet, wordt het scherm van de smartphone donker en reageert de telefoon niet meer op de handelingen van de gebruiker;
  • Wanneer de gebruiker opnieuw op de aan/uit-knop drukt, toont de malware een perfecte kopie van de iOS-opstartanimatie.
  • Tijdens het hele proces brengt de telefoon het beeld van de frontcamera van de telefoon zonder medeweten van de gebruiker voortdurend over naar een ander apparaat.

Zoals zo vaak geldt: zien is geloven, en we raden aan de video van de onderzoekers te bekijken:

Hoe beschermen tegen NoReboot

Nogmaals, NoReboot is voorlopig alleen een demonstratie van de haalbaarheid van een aanval. De aanval is alarmerend, dat zeker, maar vergeet niet dat er eerst malware op een smartphone moet komen te staan voordat er daadwerkelijk schade kan worden aangericht. Hier vindt u een aantal tips om dat te voorkomen:

  • Houd er rekening mee dat het voor aanvallers veel moeilijker is om een smartphone op afstand te infecteren dan wanneer ze er fysiek toegang toe hebben. Zorg ervoor dat niemand anders uw smartphone in handen krijgt – vooral niet voor een langere periode – en installeer een betrouwbare apparaatvergrendeling.
  • Mensen installeren meestal uit eigen beweging en vrijwillig malware op hun smartphones. Wees voorzichtig met wat u downloadt en vermijd als algemene regel het installeren van onnodige apps – dat wil zeggen, apps waar u best zonder mee kunt leven.
  • Laat uw smartphone niet rooten of jailbreaken (tenminste als u niet al jaren *nix-systemen gebruikt). Supergebruikersrechten maken het werk van malware veel makkelijker.
  • Als u een Android-apparaat hebt, raden we aan om een een antivirusprogramma te installeren om te voorkomen dat trojans uw systeem binnenglippen.
  • Laat uw smartphone van tijd tot tijd een “natuurlijke dood” sterven – dat wil zeggen, wacht tot de batterij helemaal leeg is. De telefoon zal dan zeker opnieuw opstarten zonder enige vervalsing, en er is een uitstekende kans dat spionnen uit het systeem zullen verdwijnen. U kunt dit proces versnellen door een programma te gebruiken dat veel energie verbruikt, zoals een spel of een programma voor benchmarktests.

Bron: zecops.com, kaspersky.nl

Meer info over malware 

Bekijk alle vormen en begrippen

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws over malware

Nederland in de top 5 van meest getroffen landen door mobiele malware

In deze podcast waarschuwen we voor de groeiende dreiging van mobiele malware in Nederland, dat inmiddels tot de top 5 van meest getroffen landen behoort. We leggen uit waarom Nederland een aantrekkelijk doelwit is voor cybercriminelen, mede door de hoge technologische adoptie, economische welvaart en geavanceerde infrastructuur. Daarnaast bespreken we verschillende soorten mobiele malware die in Nederland worden waargenomen, zoals banking malware, spyware, ransomware, adware en phishing-apps. De impact op zowel individuen als bedrijven wordt uitgelicht, met de nadruk op financiële verliezen, identiteitsdiefstal en reputatieschade. We sluiten af met praktische tips om jezelf te beschermen tegen mobiele malware, zoals bewustwording, veilig downloaden, gebruik van beveiligingssoftware, regelmatige updates, sterke wachtwoorden, beperken van toestemmingen, bedrijfsbeleid, regelmatige back-ups en samenwerking met experts.

Lees meer »

Malware infectiemethoden

Malware komt doorgaans de infrastructuur van een bedrijf binnen via e-mail, maar dit is niet de enige infectiemethode. De voornaamste manier om cyberincidenten te voorkomen, is voorkomen dat malware de infrastructuur van uw bedrijf binnendringt. Daarom richten deskundigen zich bij het ontwikkelen van een informatiebeveiligingsstrategie vaak op de meest voor de hand liggende aanvalsvectoren, zoals e-mailverkeer. De meeste aanvallen beginnen inderdaad met een e-mail, maar vergeet niet dat cybercriminelen nog tal van andere methodes hebben om malware bij hun slachtoffers af te leveren. Deskundigen van Kaspersky’s Global Research & Analysis Team spraken over ongebruikelijke methodes om malware te verspreiden en apparaten te infecteren die ze zijn tegengekomen tijdens het analyseren van recente bedreigingen.

Lees meer »

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Politie stopt internationaal verspreiding FluBot malware

De Nederlandse politie heeft vorige maand de infrastructuur van de beruchte Android-malware FluBot verstoord, waardoor de malware niet meer werkt. Het uitschakelen van FluBot was het resultaat van een internationale politieoperatie waar naast de Nederlandse politie onder andere ook Europol, de United States Secret Service en Belgische politie aan deelnamen.

Lees meer »

De meest voorkomende abonnementen trojans

Abonnementen-trojans zijn een aloude methode om Android-gebruikers hun zuurverdiende centen afhandig te maken. Ze infiltreren een smartphone onder het mom van nuttige apps en abonneren zich stiekem op betaalde diensten. Vaker wel dan niet is het abonnement zelf echt, alleen heeft de gebruiker de dienst hoogstwaarschijnlijk helemaal niet nodig.

Lees meer »