Stortvloed aan malware ontdekt in Google Play
Beveiligers hebben afgelopen week een heuse stortvloed aan Android malware gevonden in Google Play, de appwinkel van het Android platform. Het gaat om vier verschillende campagnes, de ene nog complexer dan de andere.
Met meer dan een miljard gebruikers is Android ondertussen het meest gebruikte besturingssysteem ter wereld, en dat begint zo zijn gevolgen te hebben. Volgens Nokia, dat zijn Threat Intelligence Report voor 2017 heeft uitgebracht, is Android dan ook het grootste doelwit voor malware. Het rapport stelt 68 procent van alle malware-infecties dit jaar op het platform plaatsvonden. Volgens Nokia heeft dat veel te maken met het feit dat applicaties kunnen geladen worden buiten de Play Store om, bijvoorbeeld van andere websites, als APK-bestanden, of overgezet van een computer. De meeste malware komt binnen via applicaties die een extra pakketje malware verstoppen.
En alsof ze dat rapport kracht willen bij zetten, publiceerden vier beveiligers net deze week rapporten over vier verschillende malwarefamilies die zich allemaal als Android apps voordeden, en netjes in de Google Play store te downloaden waren tot iemand hen erop wees dat dat misschien geen goed idee is.
Driestaps-malware
Dichtst bij huis zijn waarschijnlijk de acht apps die beveiliger ESET ontdekt heeft. De apps in kwestie leken op nieuwsapps of programma's om je system op te schonen, maar ze bevatten 'Trojan Dropper', een vorm van malware die aanvallers toelaat om malafide software op het toestel te plaatsen, zoals spyware. De apps zijn inmiddels uit Google Play verwijderd.
Opvallend is dat de apps aanzienlijk geavanceerd in elkaar zaten. Na de initiële download vroeg zo'n app niet om allerlei toestemmingen die gebruikers met malware associëren, maar gedroeg het zich zoals je van een legitieme app verwacht. In de achtergrond pakte de app echter een kwaadaardige eerstestaps-payload uit, die op zijn beurt een tweedestaps-payload ging installeren. Die bevatte dan weer een url waarmee de malware een derde payload kon downloaden met weer een andere kwaadaardige app. Na een paar minuten kreeg de gebruiker dan de vraag het derde programma te downloaden, een vraag die werd vermomd als een update van een legitieme app, of van het Android systeem zelf. Die 'update' vroeg meteen ook om allerlei toestemmingen, zoals het lezen van contacten, berichten en toegang en beheer tot opslag. Het derde payload programma was dus de eigenlijke malware, dat meteen ook alle benodigde rechten had om aanvallers vrij spel te geven. De app zou onder meer proberen gebruikersnamen en wachtwoorden voor internetbankieren te onderscheppen.
De url waar gebruikers naartoe werden gestuurd, is bijna drieduizend keer bezocht. Daarvan kwamen meer dan 2.600 uit Nederland. Wie getroffen is, moet de machtigingen voor de apps ongedaan maken en zowel de apps als de geheime ladingen deïnstalleren, zegt ESET.
Verschillende families
Het rapport van ESET komt er op ongeveer hetzelfde moment als onderzoek van drie andere beveiligers. Zo vond ook beveiliger Malwarebytes op de Play Store een (andere) trojan malware, AsiaHitGroup, die zich voordeed als legitieme apps. Het ging dan bijvoorbeeld om apps voor een alarmklok, een QR codelezer, een fotobewerker of een kompas. Ook deze apps waren vooral een front om een tweede download binnen te halen, een SMS trojan die gebruikers abonneerde op een betaalnummer. De AsiaHitGroup apps werden door duizenden gebruikers in Azië gedownload.
McAfee heeft ondertussen 144 Play Store apps gevonden met de Grabos malware aan boord. Die waren meestal vermomd als geluidspelers of apps om MP3-bestanden te downloaden. De beveiliger zegt dat de apps tussen de 4 en de 17 miljoen keer gedownloaded zijn. Bedoeling van Grabos is om valse notificaties te tonen op geïnfecteerde machines en gebruikers zo te verleiden om andere apps te installeren. De kans is vrij groot dat de aanvallers deze tactiek gebruiken om geld binnen te harken via een betaal-per-geïnstalleerde-app systeem.
Dr. Web
De vierde beveiliger, Dr. Web, heeft een campagne gevonden rond de malware die ze zelf Android.RemoteCode.106.origin noemen. In totaal zijn in Google Play negen apps ontdekt die deze malware bevatten met tussen de 2 en de 11 miljoen downloads. Deze gingen na installatie een website openen in een verborgen browser, waardoor de website meer bezoekers kreeg en zo meer geld kon vragen voor advertenties.
Google meldt ondertussen dat gebruikers die Google's Play Protect beveiligingssysteem inzetten, veilig zouden zijn voor deze apps.
In samenwerking met Datanews
