Goedkope Android-toestellen bevatten vaak in de fabriek al malware

De prijs voor een nieuwe smartphone kan tegenwoordig flink oplopen. Reden genoeg voor mensen om naar een iets goedkoper model te kijken. Dat is echter niet altijd een goed idee.

Een nieuwe Samsung Galaxy S23, Pixel Fold of misschien zelfs een iPhone. Allemaal zijn het aantrekkelijke toestellen, al hangt er een flink prijskaartje aan vast. Er zijn echter heel wat goedkopere telefoons op de markt, vaak van minder gekende merken. Trend Micro-onderzoekers stellen vast dat het niet altijd een goed idee is om zulke goedkope toestellen aan te schaffen: vaak blijken ze geïnfecteerd te zijn met malware.

Digitale apparaten zijn stuk voor stuk kwetsbaar voor malware. Voor cybercriminelen komt het er vaak op neer dat ze een kwetsbaarheid in de software zoeken en daar misbruik van maken. Alleen moet de cybercrimineel daarvoor eerst iets op het toestel krijgen – vaak gebeurt dat met schimmige apps uit de Google Play Store en via verdachte websites. Nu blijkt dat heel wat malware al op telefoons geïnstalleerd wordt nog voor ze uit de fabriek vertrekken.

Het gaat dan vooral over chips voor goedkope Android-toestellen die op voorhand geïnfecteerd worden. Die chips komen uiteindelijk niet alleen in smartphones te zitten, maar worden even goed gebruikt in verschillende smartwatches en tv’s.

Fout ligt bij OEM’s
Hoe zoiets kan gebeuren? Aanvankelijk waren smartphones vrij duur om te produceren. Voor budgettoestellen valt dat ondertussen wel mee: onderdelen zijn intussen meer dan betaalbaar geworden voor fabrikanten. Het probleem ligt bij de OEM of ‘original equipment manufacturer’, die door de dalende prijzen steeds minder aan zijn onderdelen is gaan verdienen. Om toch iets aan de verkoop van smartphone-onderdelen te verdienen zijn OEM’s dan maar softwarepaketten bij de firmware beginnen bundelen.

Doorgaans blijven deze softwarepakketten onzichtbaar. Dat het om malware gaat, staat in ieder geval vast. De zogenaamde ‘plug-ins’ voegen in veel gevallen functionaliteiten toe waar de gewone eindgebruiker niets mee is. Hackers en andere cybercriminelen kunnen er dan weer wel mee aan de slag.

Malware plug-ins
Zo zijn er verschillende plug-ins waar een heel businessmodel aan vasthangt. Op het dark web wordt reclame gemaakt waar gebruikers, via zo’n plug-in, toegang kunnen krijgen tot verschillende toestellen. Zó toegedekt hoeft het overigens niet altijd te zijn: ook in het openbaar, op socialemediasites zoals Facebook, wordt reclame gemaakt voor de plug-ins.

Wat er dan precies verkocht wordt? Via de plug-in is het mogelijk om rond te neuzen op een toestel. Wie zich via een plug-in toegang verschaft tot je toestel, kan in principe alle SMS-berichten lezen en je verschillende advertenties tonen en daar klikfraude op plegen. Ook je socialemedia-accounts, wat je allemaal precies intypt, je locatiegegevens en IP-adres kunnen allemaal doorgegeven worden via de plug-in. Niet dat de plug-in de hele tijd actief is en alle informatie doorstuurt. Voor een bepaald bedrag kunnen cybercriminelen 1200 seconden lang rondneuzen op het apparaat en beslissen welke data ze meenemen. In principe is dat genoeg: op vijf minuten kan een cybercrimineel al heel wat data verzamelen.
Welke smartphones lopen risico?
Telemetrie-gegevens stelden de onderzoekers in staat om nader te bepalen waar die geïnfecteerde toestellen zich bevinden. De toestellen zijn voornamelijk te vinden in Zuidoost-Azië en Oost-Europa – volgens de cybercriminelen die met de malware plug-ins werken zou het om zo’n 8,9 miljoen toestellen gaan.

De malware was te vinden op apparaten van 10 verschillende merken, al zijn er 40 andere merken waar de plug-ins hoogstwaarschijnlijk ook op zijn terug te vinden. Welke dat waren, wilden de onderzoekers niet zeggen.

Wat je kan doen om jezelf te beschermen? Een duurdere telefoon kopen, al is die optie niet voor iedereen mogelijk. Grote merken zoals Samsung en Google hebben hun productieketen goed op orde en zijn over het algemeen veel veiliger. Echt zeker ben je echter nooit.