Gevaarlijke malware voor Android in sms van 'RIVM' over verplichte corona-app

De integrale tekst uit het sms-bericht - dus inclusief het overbodige gebruik van de spatiebalk - luidt als volgt:

'[RIVM] Wij introduceren een verplichte corona app. Wanneer u last heeft van symptomen, vraag dan zo snel mogelijk een corona test aan. Deze krijgt u kosteloos opgestuurd, binnen 24 uur heeft u uw uitslag. Door deze app houden wij een overzicht van het aantal besmettingen in ons land. Download gratis de corona app via rivm-corona-download.digital/CoronaVirusUpdate.apk'

De sms is in ons voorbeeld afkomstig van telefoonnummer 06-25437087, maar de kans is levensgroot dat de afzender zich van meerdere telefoonnummers bedient. Wie de boel telefonisch flink op denkt te kunnen lichten, maakt immers gebruik van prepaid wegwerpsimkaarten en zal dat niet vanaf zijn of haar persoonlijke telefoonnummer doen.

Wat zijn de verdachte kenmerken?

Laten we beginnen bij de meest opvallende verdachte signalen. Nederlandse burgers worden namelijk helemaal niet verplicht om een corona-app te installeren. Het uitgangspunt van de Rijksoverheid over de échte corona-app is nog altijd als volgt: 'U installeert en gebruikt CoronaMelder vrijwillig. Niemand kan u verplichten de app te gebruiken. De overheid niet, maar bijvoorbeeld ook uw werkgever niet.'

Met dat uitgangspunt in het achterhoofd is het natuurlijk best opmerkelijk als er uit naam van het RIVM wordt gesproken over een verplichte app. Bovendien is een sms-bericht van een onbekend nummer ook niet de meest voor de hand liggende methode om gebruik van een dergelijke app af te dwingen.

De spelling laat daarnaast ook te wensen over. De afzender gebruikt namelijk herhaaldelijk spaties waar dat niet nodig is ('corona test' in plaats van 'coronatest', om een voorbeeld te noemen).

De url waarmee het sms-bericht wordt afgesloten, is natuurlijk ook reden tot zorg. Daar zijn in dit geval twee redenen voor. Allereerst is er de domeinnaam rivm-corona-download.digital. Trekken we dit domein na, dan zien we dat het domein op 3 oktober 2020 is geregistreerd, dat alle informatie over de houder van het domein vakkundig is weggestopt en dat het IP-adres verwijst naar Zuid-Afrika.

Maar er is nóg een reden waarom de link verdacht is. Er wordt namelijk niet zozeer verwezen naar alleen een website, maar naar een .apk-bestand, CoronaVirusUpdate.apk. De extensie .apk is een bestandsextensie voor zogenaamde Android Package-bestanden. Dit bestandsformaat wordt gebruikt om software voor het Android-platform te distribueren en te installeren.

Het feit dat ze je rechtstreeks naar een download verwijzen en niet naar de Google Play Store, wekt alvast de indruk dat er sprake is van bepaalde software zit die niet door de keuring van het officiële platform komt. De kans is dan ook levensgroot dat we hier te maken hebben met kwaadaardige, schadelijke of zelfs gevaarlijke malware.

Wat is er precies aan de hand met het bestand CoronaVirusUpdate.apk?

Om te beginnen kijken we even naar het domein op zich. Wie naar rivm-corona-download.digital gaat, belandt op een index waar een tweetal bestanden worden aangeboden:

Bron: Opgelicht?!

KLIK HIER