Android-software is tegenwoordig overal aanwezig en wordt zelfs op moderne slagvelden gebruikt. En net als de apps op uw smartphone, kan het downloaden van mogelijk gecompromitteerde.APK's van niet-officiële bronnen onvoorziene gevolgen hebben.
Een nieuw rapport van het Amerikaanse cybersecurity technologiebedrijf CrowdStrike ontdekte dat een hackergroep bekend als Fancy Bear een malware-implantaat bekend als X-Agent had ingebed in een Android-app die door het Oekraïense leger werd gebruikt. Men denkt dat de groep banden heeft met Russische autoriteiten die rebellenlegers in Oekraïne steunden en eerder was gekoppeld aan de e-maillekken van DNC in een ander rapport gepubliceerd door CrowdStrike.
Van het CrowdStrike-blog:
Laat in de zomer van 2016 begonnen CrowdStrike Intelligence-analisten een nieuwsgierig Android-pakket (APK) te onderzoeken met de naam 'Попр-Д30.apk' (MD5: 6f7523d3019fa190499f327211e01fcb) dat een aantal Russische taalartefacten bevatte die militair van aard waren. Aanvankelijk onderzoek wees uit dat de bestandsnaam een relatie suggereerde met de D-30 122 mm getrokken houwitser, een artilleriewapen dat voor het eerst werd vervaardigd in de Sovjet-Unie in de jaren 1960, maar nog steeds in gebruik is. Uit diepgaande reverse-engineering bleek dat de APK een Android-variant van X-Agent bevatte, het opdracht- en besturingsprotocol was nauw verbonden met waargenomen Windows-varianten van X-Agent en gebruikte een cryptografisch algoritme genaamd RC4 met een zeer vergelijkbare basissleutel van 50 bytes.
De bestandsnaam 'Попр-Д30.apk' was gekoppeld aan een legitieme applicatie die oorspronkelijk in Oekraïne werd ontwikkeld door een officier van de 55e artilleriebrigade genaamd Yaroslav Sherstuk. In media-interviews beweert de heer Sherstuk dat de applicatie, die ongeveer 9000 gebruikers had, de tijd om de D-30 af te vuren verkortte van minuten naar seconden. Er is geen bewijs van de applicatie waargenomen in de Android app store, waardoor het onwaarschijnlijk is dat de app via dat platform is gedistribueerd.
Het rapport gaat verder met te zeggen dat als de X-Agent-malware met succes binnen de applicatie was geïmplementeerd, dit een nauwkeurige verkenning van rebellentroepen op de locatie van Oekraïense artillerieposities mogelijk zou hebben gemaakt. CrowdStrike ontdekte via open source rapportage dat "Oekraïense artillerie-eenheden meer dan 50% van hun wapens hebben verloren in de 2 jaar van conflict en meer dan 80% van D-30 houwitsers, het hoogste percentage verlies van andere artillerie-stukken in het arsenaal van Oekraïne." U kunt het volledige rapport van CrowdStrike hier lezen.
Deze zaak is duidelijk een vrij extreem voorbeeld van de schade die gehackte apps kunnen veroorzaken, maar laat dit voor ons allemaal als een krachtige herinnering dienen over hoe gemakkelijk het kan zijn om kwaadaardige Android-apps van internet te downloaden.
