Het aantal cyberaanvallen neemt voortdurend toe. Check Point’s Mid-Year Report voor 2022 liet zelfs een wereldwijde stijging van 42% ten opzichte van het voorgaande jaar zien. En volgens het Global Risk Report 2022 van het World Economic Forum is 95% van de cyberbeveiligingsproblemen te wijten aan menselijke fouten. Dit zou een rode vlag moeten zijn voor alle organisaties, vooral met het oog op hybride werken, waarbij werknemers vaker mobiele toestellen gebruiken die rechtstreeks toegang hebben tot gevoelige bedrijfsgegevens en verbonden zijn met het bedrijfsnetwerk.
Veel cyberbeveiliging strategieën van bedrijven richten zich echter alleen op traditionele endpoints, zoals laptops. Een Mobile Device Management (MDM) strategie is geen waterdichte garantie voor bedrijven. Zo biedt MDM geen indringerdetectie of scan op malware. Omdat het landschap van mobiele bedreigingen voortdurend verandert, is het tegelijk nog nooit zo belangrijk geweest om een degelijke oplossing te hebben.
Florerende markt voor spyware
Het huidige mobiele malware landschap is een mijnenveld waarin steeds meer kwetsbaarheden worden uitgebuit en spyware software wordt ingezet. Check Point’s laatste beveiligingsrapport toonde aan dat de beruchte spyware Pegasus van NSO Group een ravage aanrichtte nadat was ontdekt dat het zich toegang verschafte tot de mobiele apparaten van overheidsfunctionarissen en mensenrechtenactivisten. Helaas was het in 2022 niet anders: Pegasus bleek de toestellen van het Finse ministerie van Buitenlandse Zaken, de Spaanse premier en meerdere toestellen van Britse ambtenaren te hebben gecompromitteerd.
In juli introduceerde Apple een ‘lockdown-modus‘ voor zijn apparaten om ze te beschermen tegen Pegasus-hacks. Deze modus verhoogt weliswaar de veiligheid van de gebruikers die dit instellen maar vermindert tegelijk ook de gebruikerservaring en beperkt de functionaliteit van de iPhones. Hoewel Pegasus een van de krachtigste tools is die momenteel op de markt zijn, is het ecosysteem van de spywarebedrijven ook meer concurrentieel geworden. Zo heeft Predator, een spyware van het commerciële bewakingsbedrijf Cytrox, eind 2021 iPhones geïnfecteerd via links die met één klik via WhatsApp werden verstuurd. Tot op heden heeft de cybergemeenschap nog geen volledig inzicht in het bereik van deze tools, laat staan in hun mechanismen, ondanks uitgebreide onderzoeksinspanningen.
Zero Click-aanvallen
Wat de technieken betreft, is er dit jaar een toename van het aantal ontdekte “zero-click”-aanvallen. Zoals de naam al aangeeft, is bij deze aanvallen geen input van het slachtoffer nodig voordat malware wordt ingezet. Dit komt doordat ze gebruikmaken van bestaande kwetsbaarheden in reeds geïnstalleerde apps, waardoor bedreigers langs verificatiesystemen kunnen sluipen en ongemerkt met hun aanval kunnen beginnen. Deze techniek is vooral gericht op toepassingen die gegevens accepteren en verwerken, zoals instant messaging- en e-mailplatforms.
We hebben dit in april in actie gezien toen een nieuwe ‘zero-click’ iMessage-exploit “HOMAGE” werd ontdekt die werd gebruikt in een campagne tegen Catalaanse ambtenaren, journalisten en activisten. Het is echter belangrijk om te benadrukken dat deze techniek, in tegenstelling tot spyware, niet alleen een bedreiging vormt voor wereldleiders, maar ook voor gewone mensen en organisaties. Mobiele telefoons zijn knooppunten van vertrouwelijke gegevens -zowel persoonlijke gegevens zoals bankgegevens als bedrijfsgegevens- nu veel werknemers via hun mobiele telefoon verbonden zijn met de netwerken en gegevens van hun bedrijf. Cybercriminelen maken hier gebruik van om zoveel mogelijk toegang te krijgen.
Smishing-aanvallen nemen toe
Naast Zero Click-aanvallen zien we ook een voortdurende toename van “Smishing” (SMS Phishing), waarbij SMS-berichten worden gebruikt als aanvalsvector voor de verspreiding van malware. Deze pogingen imiteren vaak vertrouwde merken of persoonlijke contacten om het slachtoffer te verleiden op een link te klikken of in vertrouwen persoonlijke gegevens te delen. Deze methode is bijzonder succesvol gebleken omdat, nadat één apparaat is gecompromitteerd, de hele lijst met contactpersonen voor het grijpen ligt, waardoor een eindeloze cyclus van mogelijke slachtoffers ontstaat.
Dit is hoe het beruchte Flubot-virus algemeen werd ingezet. Sinds de opkomst in december 2020 wordt het beschouwd als het snelst groeiende Android-botnet ooit. De groep heeft al tienduizenden slachtoffers gemaakt en staat erom bekend bijzonder innovatief te zijn en voortdurend te proberen zijn varianten te verbeteren. In juni leidde een internationale rechtshandhavingsoperatie in 11 landen, waaronder België en Nederland, ertoe dat de infrastructuur werd uitgeschakeld en de malware inactief werd gemaakt.
De positie van Flubot kon duidelijk niet lang vacant blijven, want kort daarna dook tijdens de zomer een nieuwe Android-malware op, MaliBot genaamd. MaliBot richt zich op online bankieren en cryptocurrency wallets in Spanje en Italië, op zoek naar een herhaling van het succes van zijn voorganger. Op het moment van schrijven is MaliBot al de derde meest voorkomende mobiele malware wereldwijd, ondanks dat het zo nieuw is, met AlienBot op de eerste plaats.
“Veiligheid” in App Stores
Veel gebruikers wenden zich tot app stores om hun toestellen veilig te houden. Helaas zijn er apps die beweren te helpen veiligheidsrisico’s te beheren, maar vaak zelf malware bevatten. De meest beveiligde winkels zoals Google Play Store en Apple App Store hebben grondige beoordelingsprocessen om kandidaat-applicaties te onderzoeken voordat ze worden geüpload. Volgens een recent rapport heeft Google in 2021 1,2 miljoen verdachte toepassingen geblokkeerd en Apple 1,6 miljoen. Vindingrijke cybercriminelen proberen deze beveiligingsmaatregelen echter voortdurend te omzeilen.
Het is dus niet verwonderlijk dat er nog steeds kwaadaardige toepassingen in deze app stores verborgen zitten. In feite blijven deze platformen de belangrijkste infectievectoren bij mobiele bedreigingen. Onderzoekers van Check Point analyseerden onlangs bijvoorbeeld verdachte toepassingen in de Google Play Store en vonden er een paar die zich voor deden als echte antivirus oplossingen, maar in werkelijkheid installeerden de apps na het downloaden een Android Stealer genaamd SharkBot die referenties en bankgegevens steelt. En in februari werd in de Google Play Store een Android banking Trojan genaamd Xenomorph ontdekt die zich schuilhield achter een valse productiviteitsapplicatie. Er waren meer dan 50.000 downloads.
Uitdagingen beveiliging mobiele toestellen
Het bedreigingslandschap ontwikkelt zich snel en mobiele malware vormt een aanzienlijk gevaar voor zowel de persoonlijke als de bedrijfsbeveiliging, vooral omdat mobiele apparaten kwetsbaar zijn voor verschillende aanvalsvectoren, van de toepassings- tot de netwerk- en OS-laag. Van smartphones weten we vaak ook niet of ze besmet zijn met malware omdat er geen security technologie actief is die dat kan detecteren. Door de nieuwe manier van werken is het vandaag meer dan ooit ook een professionele tool, die tegelijk echter ook veel persoonlijke gegevens zoals foto’s en filmpjes bevat. Toch beschermen gebruikers hun smartphone niet op dezelfde manier als laptops en desktops, terwijl het in tegenstelling tot deze toestellen constant verbonden is met het internet. Daarom alleen al heeft een smartphone een beveiligingslaag nodig.
Aanvullende veiligheidsmaatregelen
Het is voor mobiele gebruikers in het algemeen dan ook sterk aangeraden om aanvullende veiligheidsmaatregelen in te bouwen. zoals alleen applicaties uit gecertificeerde Google- en Apple-winkels downloaden. En zelfs tijdens het downloaden de aanbevelingen en het aantal downloads van een bepaalde applicatie bekijken, om te controleren of de applicaties legitiem zijn. Mobiele gebruikers moeten op hun mobiele telefoon of laptop dezelfde regels hanteren als op hun desktop apparatuur, zoals niet klikken op links van onbekende afzenders -of die nu via e-mail, sms-berichten of messaging-toepassingen komen- ,en geen bestanden downloaden van niet-vertrouwde bronnen.
Bedrijven kunnen gebruik maken van tools die de veerkracht van endpoints versterken en externe gebruikers beveiligen. Zo bieden tools die gebruik maken van real-time threat intelligence om actief te waken tegen zero-day phishing-campagnes de nodige ondersteuning. Of bijvoorbeeld ook URL-filtering om de toegang tot bekende kwaadaardige websites vanuit elke browser te blokkeren. Heel wat bedrijven zou ook veel ellende bespaard blijven door voorwaardelijke toegang af te dwingen, zodat een geïnfecteerd apparaat geen toegang krijgt tot bedrijfstoepassingen en -gegevens.
Zahier Madhar, Security Engineering Expert Check Point België
