Het grote botnet Cutwail, dat verantwoordelijk is voor het versturen van spammails, bedreigt nu ook mobiele apparaten door Android-malware te versturen.

Het botnet Cutwail stuurt spammails om ook andere Windows-machines te infecteren met trojans die vervolgens het botnet worden ingetrokken. De beheerders van het botnet hebben nu ook een module toegevoegd om Android-apparaten te pakken.

Via een melding dat de Flash Player moet worden bijgewerkt om de e-mail te kunnen lezen, worden toestellen naar een Android-installatiebestand (APK) geleid. De malware die vervolgens wordt geïnstalleerd staat niet in Google's webwinkel Play, dus enkel slachtoffers die 'downloaden van onbekende bronnen' hebben aangevinkt, kunnen worden besmet.

Ongebruikelijke aanpak

Dell Secureworks analyseerde het botnet en ontdekte de Android-optie in de malware. Normaal gesproken neemt het Cutwail-botnet Windows-gebruikers op de korrel door ze naar een pagina waar de exploitkit Blackhole draait. Een stukje Android-malware steelt data, waaronder TAN-codes, en pleegt zelf telefoontjes. Ook richt het schade aan door apps op eigen houtje te verwijderen.

"De verspreiding van de Stels-trojan door een spamcampagne is ongebruikelijk voor Android-malware", schrijft beveiligingsexpert Brett Stone-Gross van Dell. Beveiligingsbedrijf F-Secure noemt dat nogal een understatement. Android-malware wordt het meest aangetroffen in alternatieve Android-winkels. In minder dan één procent van de gevallen wordt de malware aangetroffen in Google Play en daar worden schadelijke APK's actief verwijderd.

Het bereiken van nieuwe slachtoffers via een injectiemethode als deze is niet helemaal uniek. Zo worden ook banners gebruikt om gebruikers ertoe te verleiden malafide APK's te installeren. Al eerder doken zo nep-Angry Birds-versies op waar malware stiekem bij werd meegeïnstalleerd. Ook worden QR-codes misbruikt om heimelijk malware op Android-toestellen te plaatsen.

Cutwail grote speler

Cutwail is verantwoordelijk voor een grote hoeveelheid van de spammails die worden verstuurd. Het botnet draait al jaren mee en was in 2011 een hoofdveroorzaker van een tsunami aan spammails.

Het botnet verzorgt ook phishing op Facebook, Twitter en andere sociale media. En in 2010 behaalde het botnet faam door via Pushdo-variant de audioverificatie van Windows Live te kraken en zo nieuwe adressen in te lijven.

webwereld.nl

Published On: 05-04-13|Categories: nieuws|

Deel dit bericht