Android-software is tegenwoordig overal en wordt zelfs gebruikt op moderne slagvelden. En net als de apps op je smartphone kan het downloaden van mogelijk gecompromitteerde APK's van niet-officiële bronnen tot onvoorziene gevolgen leiden.
Een nieuw rapport van het Amerikaanse cybersecurity-technologiebedrijf CrowdStrike ontdekte dat een hackergroep bekend als Fancy Bear een malware-implantaat genaamd X-Agent had ingebed in een Android-app die door het Oekraïense leger wordt gebruikt. De groep zou banden hebben met de Russische autoriteiten die rebellen in Oekraïne steunden, en was eerder in verband gebracht met de DNC-e-maillekken in een ander rapport gepubliceerd door CrowdStrike.
Van de CrowdStrike-blog:
Aan het einde van de zomer van 2016 begonnen CrowdStrike Intelligence-analisten een merkwaardig Android-pakket (APK) genaamd 'Попр-Д30.apk' (MD5: 6f7523d3019fa190499f327211e01fcb) die een aantal Russische artefacten bevatte die militair waren in de natuur. Uit eerste onderzoek bleek dat de bestandsnaam een verband suggereerde met de D-30 122 mm gesleepte houwitser, een artilleriewapen dat voor het eerst werd vervaardigd in de Sovjet-Unie in de jaren zestig, maar nog steeds in gebruik is. Diepgaande reverse engineering onthulde dat de APK een Android-variant van X-Agent bevatte, het commando- en controleprotocol was nauw gekoppeld aan waargenomen Windows-varianten van X-Agent, en gebruikte een cryptografisch algoritme genaamd RC4 met een zeer vergelijkbare basis van 50 bytes sleutel. De bestandsnaam 'Попр-Д30.apk' was gekoppeld aan een legitieme applicatie die aanvankelijk in eigen land in Oekraïne was ontwikkeld door een officier van de 55e Artilleriebrigade genaamd Yaroslav Sherstuk. In media-interviews beweert dhr. Sherstuk dat de applicatie, die zo'n 9000 gebruikers had, de tijd om de D-30 af te vuren terugbracht van minuten naar seconden. Er is geen bewijs van de applicatie gevonden in de Android App Store, waardoor het onwaarschijnlijk is dat de app via dat platform is verspreid.
Het rapport zegt verder dat als de X-Agent-malware met succes in de applicatie is geïmplementeerd, het zou een nauwkeurige verkenning voor rebellentroepen mogelijk hebben gemaakt op de locatie van Oekraïense artillerie posities. CrowdStrike ontdekte via open source-rapportage dat "Oekraïense artilleriekrachten meer dan 50% van hun wapens hebben verloren in de 2 jaar van conflict en meer dan 80% van de D-30 houwitsers, het hoogste verliespercentage van alle andere artilleriestukken in het arsenaal van Oekraïne. de volledig rapport van CrowdStrike hier.
Deze zaak is duidelijk een vrij extreem voorbeeld van de schade die gehackte apps kunnen aanrichten, maar laat dit als een strenge herinnering aan ons allemaal over hoe gemakkelijk het kan zijn om kwaadaardige Android-apps te downloaden van de internetten.