21 november 2018 14:02

Meer dan 580.000 Android-gebruikers downloadden malware vanaf de Google Play Store

In zijn totaliteit zijn er meer dan 580.000 gebruikers geraakt door de installatie van een schadelijke applicatie uit de Google Play Store, dit kwam naar buiten door onderzoek van ESET.

Om maar te beginnen, dit is geen analyse van de complete Google Play Store, het gaat over ‘slechts’ één reeks applicaties van een enkele ontwikkelaar in de Google Play Store. Het is vrijwel onmogelijk om alle soorten malware uit de Google Play Store te halen – er zijn elke dag ook weer nieuwe en onbekende varianten die plots verschijnen. Google heeft in de afgelopen jaren een flinke hoeveelheid aandacht gegeven aan het verwijderen van schadelijke applicaties: apps krijgen in de basis geen toegang meer tot specifieke rechten in het Android-systeem, daar komt nog bij dat Google vorig jaar meer dan 700.000 apps uit de Play Store heeft verwijderd. Maar toch heeft Google de bal hier behoorlijk laten vallen. De schadelijke apps bleven lang genoeg in de Play Store staan om zelfs trending te worden, tot Google de apps na vele melding de app heeft verbannen.

Don't install these apps from Google Play – it's malware.
Details:
-13 apps
-all together 560,000+ installs
-after launch, hide itself icon
-downloads additional APK and makes user install it (unavailable now)
-2 apps are #Trending
-no legitimate functionality
-reported pic.twitter.com/1WDqrCPWFo
— Lukas Stefanko (@LukasStefanko) November 19, 2018

Details over de dertien schadelijke applicaties verschenen als eerst in een tweet van Lukas Stefanko, een onderzoeker bij beveiligingsbedrijf ESET. Ten tijde van zijn tweet waren alle apps nog te downloaden en waren er zelfs twee applicaties die als trending vermeld stonden – dat zal hoogstwaarschijnlijk ook kunnen verklaren waarom alle apps bij elkaar meer dan 580.000 downloads konden verzamelen. Wat nog opvallender is aan deze apps is dat ze totaal geen functionaliteit lijken te hebben, na het downloaden en het openen van de app sluit deze zichzelf weer. Volgens Stefanko wordt het icoontje van de applicatie op den duur ook verwijderd uit de app drawer. Maar, daar begint het ‘spelletje’ voor de applicatie pas. Want, alhoewel het lijkt op een kapotte app: op de achtergrond gaat de app vrolijk verder met het installeren van malware.

Malware installatie

Na het installeren van malware wordt echter niet duidelijk wat de schadelijke code kan doen. Ook verschillende virusscanners op VirusTotal weten geen raad met de malware, ze lijken het in sommige gevallen zelfs niet te kunnen herkennen. In andere gevallen geven verschillende antivirusprogramma’s een andere beoordeling van de malware. Wat wel duidelijk is over de malware is dat het een herstart overleeft, en dat de malwareapplicatie toegang heeft tot netwerkinformatie – en dus in theorie data af zou kunnen tappen. Overigens zijn de applicaties vlak na de tweet van Stefanko van de Play Store verwijderd, zo geeft Scott Westover, woordvoerder van Google, aan bij navraag door TechCrunch. De vraag is echter nog hoe het zo lang kan duren voor deze applicaties om opgemerkt te worden; vooral gezien het feit dat er dusdanig veel gebruikers de applicaties hebben gebruikt. Ook is er via een omweg malware geïnstalleerd in de vorm van een extra APK-bestand.