Cybersecurity-onderzoekers van Trend Micro ontdekte een verontrustende supply chain-aanval die miljoenen apparaten trof Android besmet met malware voordat ze zelfs maar de fabriek verlaten.
Budgetsmartphones werden het meest getroffen, maar de aanval verspreidde zich ook naar smartwatches, smart-tv's en andere 'slimme' apparaten.
Fyodor Yarochkin, senior onderzoeker bij Trend Micro, en zijn collega Zhenyu Dong spraken hier onlangs over op een conferentie in Singapore en merkten op dat de oorzaak van het probleem ligt in de hevige concurrentie tussen fabrikanten van originele apparatuur.
Het blijkt dat smartphonefabrikanten niet alle componenten produceren. Firmware wordt bijvoorbeeld gemaakt door een externe firmwareleverancier. Omdat de prijs van firmware voor mobiele telefoons echter blijft dalen, merken verkopers dat ze geen geld in rekening kunnen brengen voor hun producten.
Daarom, zoals uitgelegd door de heer Yarochkin, werden producten geleverd met een kleine ongewenste toepassing in de vorm van "stille plug-ins". Trend Micro vond "tientallen" firmware-images die op zoek waren naar malware en 80 verschillende plug-ins. Volgens de onderzoekers maakten sommige plug-ins deel uit van een breder "bedrijfsmodel", ze werden verkocht op darknet-forums en zelfs geadverteerd op grote sociale-mediaplatforms en blogs.
Deze plug-ins kunnen gevoelige informatie van het apparaat stelen, sms-berichten stelen, de controle over sociale media-accounts overnemen, apparaten gebruiken voor advertentie- en klikfraude, verkeer misbruiken en de lijst gaat maar door. Een van de ernstigste problemen, benadrukt The Register, is een plug-in waarmee de koper gedurende maximaal vijf minuten volledige controle over het apparaat kan krijgen en het als een "exit node" kan gebruiken.
Volgens de vertegenwoordigers van Trend Micro geven de verkregen gegevens aan dat wereldwijd ongeveer negen miljoen apparaten zijn getroffen door deze aanval op de toeleveringsketen, waarvan de meeste zich in Zuidoost-Azië en Oost-Europa bevinden. De onderzoekers wilden de aanvallers niet noemen, maar noemden China meermaals, concludeert de publicatie.
Lees ook: