Open-source Android-spyware duikt op in Google Play

De eerste bekende gevallen ontdekt van spyware gebaseerd op de open-source spionagetool AhMyth zijn opgedoken. Deze specifieke spyware deed zich voor als een internetradio-app die zeer specifieke muziek uit Beloetsjistan (een landstreek op grondgebied van Pakistan, Iran en Afghanistan) speelde; de spionagefunctionaliteiten kunnen echter eenvoudig ook voor een andere soort app worden gebruikt.

Dit meldt beveiligingsbedrijf ESET. AhMyth, waarvan de internetradio-app zijn kwaadaardige functionaliteiten leende, werd eind 2017 publiek beschikbaar gemaakt. Sindsdien zijn verschillende kwaadaardige apps gebaseerd op AhMyth verschenen. De bovengenoemde app, genaamd Radio Balouch, is echter de eerste van die apps die zijn weg heeft gevonden naar de officiële Android-appstore, Google Play.

Niet moeilijk te identificeren

ESET wijst erop dat ESET Mobile Security voor Android gebruikers tegen AhMyth en afgeleiden daarvan al sinds januari 2017, voordat AhMyth publiek beschikbaar werd. "De kwaadaardige functionaliteit van AhMyth wordt niet verborgen, beschermd of verduisterd. Daarom is het niet heel moeilijk om de Radio Balouch-app – en soortgelijke – te identificeren als kwaadaardig en toebehorend aan de AhMyth-familie," zegt Lukás Štefanko, malwareonderzoeker bij ESET en leider van dit onderzoek.

Nadat ESET de ontdekking aan Google rapporteerde, heeft diens securityteam de Radio Balouch-app uit de store verwijderd. De aanvallers hebben de app echter snel opnieuw aangemeld in de Google Play store. "We hebben ook de tweede keer de aanwezigheid van de malware gedetecteerd en gerapporteerd, waarop de app wederom snel werd verwijderd. Wat wel zorgwekkend is, is het feit dat dezelfde app-ontwikkelaar in staat was deze overduidelijke malware meerdere keren in de store te uploaden."

Te vinden in alternatieve appstores

Radio Balouch, door ESET gedetecteerd als Android/Spy.Agent.AOX, werd gepromoot op een speciale daarvoor bestemde website, Instagram en YouTube. Nadat het van Google Play is gehaald, is de app alleen nog beschikbaar via alternatieve appstores.

De app is een volledig functionerende internetradio-applicatie voor muziek uit Beloetsjistan. Vanaf de achtergrond bespiedt het zijn gebruikers: de app kan contacten stelen en bestanden van het getroffen apparaat halen. "Er zijn verschillende varianten van deze open-source AhMyth-spionagetool en de functionaliteiten kunnen per variant verschillen. Het is mogelijk dat de Radio Balouch-app – en andere malware gebaseerd op AhMyth – in de toekomst nieuwe functionaliteiten erbij krijgen," waarschuwt Štefanko.

'Wees kritisch over elke app'

Volgens ESET-onderzoekers dient de herhaaldelijke aanwezigheid van deze kwaadaardige app in de Google Play store als een signaal aan zowel Googles securityteam als Androidgebruikers. "Tenzij Google betere beveiligingsmaatregelen treft, kan een nieuwe kloon van Radio Balouch of een andere AhMyth-afgeleide opnieuw op Google Play verschijnen," voegt Štefanko toe. "De belangrijkste securitytip – om alleen apps van officiële bronnen te vertrouwen – houdt nog steeds stand; dat alleen is echter geen garantie op veiligheid. We raden gebruikers aan kritisch te zijn over elke app die ze op hun apparaat willen installeren en om een erkende mobiele beveiligingsoplossing te gebruiken," concludeert hij.

Lees voor meer informatie de blog 'First-of-its-kind spyware sneaks into Google Play' op WeLiveSecurity.com.