Beheer

Security
Android

Android-malware treft vooral Nederlanders

8 besmette apps in Google Play

Android © CC0: Pixabay.com,  Tsymyn
16 november 2017

8 besmette apps in Google Play

Gelaagde Android-malware die zich in enkele apps in Google Play had genesteld, heeft vooral Nederlanders geraakt. Sinds dinsdag hebben 3000 Nederlanders deze geïnfecteerde apps gedownload.

Tot nu toe zijn de apps ieder maar een paar honderd keer gedownload. Het zijn echter vooral Nederlanders die dat hebben gedaan. Dat constateert beveiliger ESET, die de Android-malware heeft ontdekt. Onderzoeker Lukas Stefanko onderzocht de malware maar kan nog geen verklaring geven voor het feit dat vooral Nederlanders hierdoor zijn getroffen. “Vreemd, want er zijn veel aanwijzingen dat de maker afkomstig is uit Rusland.” Het ging onder meer om apps met de namen MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS en World News PRO.

De kwaadaardige apps deden zich voor als legitieme nieuws-apps en er zaten wat games bij. “Misschien dat deze malwarecampagne groter is dan we nu hebben gevonden en dat er verschillende apps zijn die dezelfde URL-link gebruiken en dat de Nederlanders ze dus via andere meer op Nederland gerichte apps hebben gedownload. Maar we weten het gewoon nog niet.”

ESET vond in de Android app store acht kwaadaardige apps die zijn voorzien van de malware Android/TrojanDropper.Agent.BKY. Deze Android-malware is volgens de onderzoekers opmerkelijk door de gelaagdheid ervan. Stefanko noemt vooral de combinatie van technologieën in de malware opmerkelijk. “De malware heeft een paar lagen en vereist maar een paar permissies waardoor hij ook niet makkelijk wordt opgemerkt.”

Detectie moeilijk

Stefanko noemt ook de functionaliteit om detectie te voorkomen opmerkelijk. Dat is te danken aan de gelaagde architectuur en encryptie. Na installatie vragen de apps geen verdachte permissies en ook imiteren ze activiteiten die gebruikers van zo’n app verwachten. De app ontsleutelt en activeert na installatie zijn eerste en tweede ‘lading’. Een gebruiker merkt dat niet op. De tweede ‘lading’ bestaat uit een hardcoded URL waarvandaan een tweede kwaadaardige app wordt gedownload. Dat is de derde laag dus. Na een paar minuten wordt de gebruiker gemeld dat hij deze app moet installeren. Deze app is vermomd als bekende software zoals Flash Player en die vraagt vervolgens alle permissies die nodig zijn om de malware zijn uiteindelijke werk te laten doen.

Wat de Android-malware extra gevaarlijk maakt, is volgens Stefanko dat deze zo gebouwd is dat de laatste stap variabel is: hij kan ingevuld worden met vrijwel alle door criminelen gewenste aanvalstechnieken. In de 8 apps die zijn gevonden ging het alleen om banking trojans, maar daar hoeft het niet bij te blijven. “Het kan zelfs ingezet worden voor een spionagecampagne. Dan kan het op een zeer precies omschreven groep gebruikers worden gericht en verzamelt het na infectie tekst, e-mails, video, geluid – en dat alles haal je binnen via de appstore van Google. Dat vind ik heel gevaarlijk.”

Dat de apps toch in de appstore van Google terecht kwamen, betekent niet dat die niet goed beveiligd zou zijn, benadrukt Stefanko. “Er worden zo veel pogingen gedaan om die te infiltreren. En ook al heeft Google een goede beveiliging – soms komt er wel iets door. Het is nou eenmaal een kat-en-muis-spel.”

ESET heeft Google geïnformeerd over de malware. De 8 apps zijn inmiddels verwijderd uit Google Play.

Hoe je er vanaf komt

Wie een van de kwaadaardige apps heeft gedownload, moet

  1. De admin-rechten voor de geïnstalleerde payload deactiveren
  2. De stiekem geïnstalleerde payload de-installeren
  3. De app de-installeren die uit de Play Store is gedownload
Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.