De Play Store heeft een malwareprobleem

Els Bellens
Els Bellens Technologiejournaliste bij Data News

Beveiligers hebben de voorbije week een heuse stortvloed aan Android malware gevonden in de Play Store. Het gaat om vier verschillende campagnes, de ene al complexer dan de andere.

Met meer dan een miljard gebruikers is Android ondertussen het meest gebruikte besturingssysteem ter wereld, en dat begint zo zijn gevolgen te hebben. Volgens Nokia, dat zijn Threat Intelligence Report voor 2017 heeft uitgebracht, is Android dan ook het grootste doelwit voor malware. Het rapport stelt 68 procent van alle malware-infecties dit jaar op het platform gebeurden. Volgens Nokia heeft dat veel te maken met het feit dat applicaties kunnen geladen worden buiten de Play Store om, bijvoorbeeld van andere websites, als APK-bestanden, of overgezet van een computer. De meeste malware komt binnen via applicaties die een extra pakketje malware verstoppen.

En alsof ze dat rapport kracht willen bij zetten, publiceerden vier beveiligers net deze week rapporten over vier verschillende malwarefamilies die zich allemaal als Android apps voordeden, en netjes in de Google Play store te downloaden waren tot iemand hen erop wees dat dat misschien geen goed idee is.

Driestaps-malware

Dichtst bij huis zijn waarschijnlijk de acht apps die beveiliger ESET ontdekt heeft. De apps in kwestie leken op nieuwsapps of programma’s om je system op te schonen, maar ze bevatten ‘Trojan Dropper’, een vorm van malware die aanvallers toelaat om bijkomende foute software op het toestel te plaatsen, zoals spyware. De apps zijn ondertussen van de Google Play Store weggehaald.

Opvallend is dat de apps best stiekem in elkaar zaten. Na de initiële download vroeg zo’n app niet om allerlei toestemmingen die gebruikers met malware associëren, maar gedroeg het zich zoals je van een legitieme app verwacht. In de achtergrond pakte de app echter een kwaadaardige eerstestaps-payload uit, die op zijn beurt een tweedestaps-payload ging installeren. Die bevatte dan weer een url waarmee de malware een derde payload kon downloaden met weer een andere kwaadaardige app. Complex spul, dus, en na een paar minuten kreeg de gebruiker dan de vraag het derde programma te downloaden, een vraag die werd vermomd als een update van een legitieme app, of van het Android systeem zelf. Die ‘update’ vroeg meteen ook om allerlei toestemmingen, zoals het lezen van contacten, berichten en toegang en beheer tot opslag. Het derde payload programma was dus de eigenlijke malware, dat meteen ook alle nodige machtigingen had om aanvallers toe te laten eender wat te doen. De app zou onder meer proberen gebruikersnamen en wachtwoorden voor internetbankieren te onderscheppen.

De url waar gebruikers naartoe werden gestuurd, is bijna drieduizend keer bezocht. Daarvan kwamen meer dan 2600 uit Nederland. Wie getroffen is, moet de machtigingen voor de apps ongedaan maken en de apps en de geheime ladingen deïnstalleren, zegt ESET.

Verschillende families

Het rapport van ESET komt er op ongeveer hetzelfde moment als onderzoek van drie andere beveiligers. Zo vond ook beveiliger Malwarebytes op de Play Store een (andere) trojan malware, AsiaHitGroup, die zich voordeed als legitieme apps. Het ging dan bijvoorbeeld om apps voor een alarmklok, een QR codelezer, een fotobewerker of een kompas. Ook deze apps waren vooral een front om een tweede download binnen te halen, een SMS trojan die gebruikers abonneerde op een betaalnummer. De AsiaHitGroup apps werden door duizenden gebruikers gedownload, zij het alleen in Azië.

McAfee heeft ondertussen 144 Play Store apps gevonden met de Grabos malware aan boord. Die waren meestal vermomd als geluidspelers of apps om MP3-bestanden te downloaden. De beveiliger zegt dat de apps tussen de 4 en de 17 miljoen keer gedownloaded zijn. Bedoeling van grabos is om valse notificaties te tonen op geïnfecteerde machines en gebruikers zo te verleiden om andere apps te installeren. De kans is vrij groot dat de aanvallers deze tactiek gebruiken om geld binnen te rijven via een betaal-per-geïnstalleerde-app systeem.

De vierde beveiliger, Dr. Web, heeft dan weer een campagne gevonden rond de malware die ze zelf Android.RemoteCode.106.origin noemen. Het gaat om negen Play Store apps met tussen de 2 en de 11 miljoen downlads. Deze gingen na installatie een website openen in een verborgen browser, waardoor de website meer bezoekers kreeg en zo meer geld kon vragen voor advertenties.

Google meldt ondertussen dat gebruikers die Google’s Play Protect beveiligingssysteem inzetten, veilig zouden zijn voor deze apps. (EB/ANP)

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content