Android-spyware Monokle slaat zijn slag via functionele trojan nep-apps

Een nieuwe vorm van Android-spyware genaamd Monokle is een van de meest geavanceerde die tot nu toe ontdekt is. De spyware is ingebed in functionele nep-apps, zoals Skype, Signal en Pornhub.

Cybersecurity-onderzoekers van Lookout beweren dat de spyware is ontwikkeld door het in Rusland gevestigde bedrijf Special Technology Centre. De naar verluidt in 2015 ontwikkelde spyware-toolset werd voor het eerst in 2016 waargenomen met infecties die in 2018 piekten, aldus Silicon Angle.

Special Technology Centre is eerder door de Amerikaanse regering gesanctioneerd, nadat het bedrijf in verband werd gebracht met vermeende inmenging in de presidentsverkiezingen van 2016.

Man-in-the-middle-aanvallen

Monokle gaat direct aan de slag, zodra een gebruiker de nep – maar functionele – app installeert. De spyware maakt zogeheten man-in-the-middle-aanvallen mogelijk. Hierbij installeren degenen die achter de aanval zitten kwaadaardige certificaten op het geïnfecteerde apparaat. Iets wat de onderzoekers bestempelen als een uniek kenmerk.

Bovendien is Monokle in staat gegevens van vele populaire toepassingen te verzamelen en exfiltreren. Ook maakt het screenshots en neemt het beeldschermen van gebruikers op om zo hun pincodes, patronen en wachtwoorden vast te leggen. Verder steelt de spyware contacten, de oproepgeschiedenis, browsergeschiedenis en kalenderinformatie. Daarnaast neemt de geavanceerde spyware gesprekken en lokale audio op, worden gebruikerswachtwoorden van websites vastgelegd en e-mails opgehaald. Monokle is ook in staat om de locatie van een apparaat te volgen, naast nog een lange lijst van andere criminele-activiteiten.

“Monokle is een goed voorbeeld van de grotere trend van ondernemingen en natiestaten, die geavanceerde mobiele malware ontwikkelen die we in de loop der jaren hebben waargenomen”, zeggen de onderzoekers in een blogpost.

Werkende trojan-apps met spyware

De trojan-apps van Monokle zijn zo ontworpen dat ze niet te onderscheiden zijn van legitieme apps. De trojan-apps werken met de spyware op de achtergrond, dit in navolging van een recente trend in malware. Slachtoffers weten hierdoor vaak niet dat de apps die ze geïnstalleerd hebben kwaadaardig zijn. Zeker ook gezien deze normaal functioneren, waardoor er geen reden is de apps te verwijderen.

Volgens de onderzoekers richten de apps zich vooral op gebruikers in de Kaukasus en in en rond Syrië. Al zijn inmiddels ook in het westen een aantal populaire apps gekopieerd en trojanized, zoals de eerder genoemde Skype-, Signal- en Pornhub-app.

Lees ook: Microsoft voorziet maandelijkse security-only update van ‘spionagepatch’