Dutch IT Chanel Logo mobile
Search icon
Redactie - 09 maart 2026

Mobiele spyware-campagne imiteert Israëlisch 'Red Alert'-systeem

Beveiligingsonderzoekers van de Acronis Threat Research Unit (TRU) hebben een geraffineerde cybercampagne ontdekt die zich richt op Israëlische burgers. Aanvallers verspreiden een vervalste versie van de populaire 'Red Alert'-app (צבע אדום) via sms-berichten die afkomstig lijken te zijn van de officiële overheidsinstantie Home Front Command.

Spyware Security Mobile Israel Iran
Mobiele spyware-campagne imiteert Israëlisch 'Red Alert'-systeem image

In tijden van geopolitieke spanningen en raketaanvallen vertrouwen miljoenen Israëliërs op de Red Alert-app voor levensreddende waarschuwingen. Juist dit vertrouwen wordt nu misbruikt. De kwaadaardige app werkt namelijk volledig naar behoren als alarmsysteem, maar voert op de achtergrond spionage-activiteiten uit, aldus Acronis.

Hoe de aanval werkt

De infectieketen begint met een zogenaamd 'smishing'-bericht (sms-phishing). Ontvangers worden gewaarschuwd voor een vermeende storing in het huidige alarmsysteem en aangespoord om een "update" te installeren via een verkorte bit.ly-link.

Zodra de gebruiker het APK-bestand (het installatiepakket voor Android) buiten de officiële Google Play Store om installeert, nestelt de spyware zich in het systeem. De app maakt gebruik van geavanceerde technieken om Android-beveiligingscontroles te omzeilen:

  • Certificaat-vervalsing: De app doet zich voor alsof deze officieel ondertekend is door de legitieme ontwikkelaars.
  • Runtime-manipulatie: De malware injecteert een 'proxy' in het systeemproces, waardoor de telefoon denkt dat de app uit de Google Play Store komt.
  • Dubbele architectuur: De malware fungeert als 'loader'. Het installeert de echte, werkende Red Alert-app als dekmantel, terwijl de spyware-component onzichtbaar actief blijft.

Gestolen gegevens

De spyware verzamelt een schokkende hoeveelheid gevoelige informatie en verstuurt deze naar een externe server (C2) onder controle van de aanvallers. Het gaat onder andere om:

  • Sms-berichten: Inclusief verificatiecodes (OTP’s) voor banken en privégesprekken.
  • Contactlijsten: Namen, telefoonnummers en e-mailadressen.
  • Locatiedata: Real-time tracking van de bewegingen van het slachtoffer.
  • Accountinformatie: Gegevens over gekoppelde Google- en e-mailaccounts.
  • Lijst met geïnstalleerde apps: Om te zien welke bank- of beveiligingsapps de gebruiker gebruikt.

Toewijzing: Arid Viper?

Op basis van de gebruikte infrastructuur en de focus op Israëlische doelwitten, vermoeden onderzoekers dat de aanvalskampagne gelinkt kan worden aan Arid Viper (ook bekend als APT-C-23). Deze groep staat bekend om het gebruik van 'trojanized' mobiele apps voor spionagedoeleinden.

Advies voor gebruikers

Beveiligingsexperts adviseren burgers om extreem waakzaam te zijn. De officiële Israëlische autoriteiten versturen nooit app-updates via sms-berichten met verkorte links.

  • Installeer de Red Alert-app uitsluitend via de officiële Google Play Store of Apple App Store.
  • Controleer app-machtigingen: de echte app heeft geen toegang nodig tot uw contacten of sms-berichten.
  • Vermoedt u een infectie? Controleer of de app-pakketnaam com.red.alertx aanwezig is. In dat geval is een volledige fabrieksreset van het toestel en het wijzigen van alle wachtwoorden noodzakelijk.
Axians NaaS BW + BN ESET Cyber Defense Summit 2026

Dutch IT events

Event icon

Event

Dutch IT Security Day: praktische inzichten, trends en netwerken

Event icon

Event

Dutch IT Channel Awards 2025

Alle events
Axians NaaS BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!