Wil je een besmetting opsporen, dan moet je eerst alle geïnstalleerde apps doornemen. Meer dan negentig procent van alle besmettingen wordt namelijk veroorzaakt door schadelijke applicaties. Je vindt het overzicht onder ‘Instellingen / Apps’. Klik je op een van deze apps, dan zie je via de optie ‘Machtigingen’ en/of via het snelmenu rechtsboven alle rechten die worden opgeëist. Een ervaren gebruiker kan aan de hand van deze machtigingen vaak al zien welke app mogelijk de oorzaak is voor het vreemde gedrag.
Aan de hand van de AppExtract-reports kun je bijvoorbeeld installatiegegevens met opmerkelijke kostenposten op je telefoonrekening vergelijken.
Met de analyse-app AppExtract wordt het makkelijker om software met bepaalde kuren aan nader onderzoek te onderwerpen en te beoordelen. Deze gratis app geeft een overzicht van alle geïnstalleerde apps compleet met hashwaarden en informatie over de auteur. Dat laatste gebeurt aan de hand van het certificaat en de versienummers. Die gegevens kunnen voor het identificeren van de app van pas komen. Vervolgens kun je ze vergelijken met bekende apps.
Antivirusservices als VirusTotal kunnen je erop attenderen dat een app bijvoorbeeld de locatie mag opvragen of het internet mag gebruiken.
Verder kan de tool het bericht direct per e-mail naar ervaren gebruikers of analisten versturen. De MD5-checksum in het rapport kan dan worden vergeleken met online databases zoals VirusTotal. Daarmee kun je vaststellen of de app wel of niet als schadelijk te boek staat. Wil je meer te weten komen, dan krijg je met het AppExtract-rapport ook het pad te zien waaronder het APK-bestand van de app staat. Je kunt dit bestand met onderstaand commando voor handmatige reversing (kort voor ‘reverse engineering’) doorgeven aan een computer waarop de Android SDK is geïnstalleerd:
adb pull /data/app/[naam pakket].apk~/ malicious_apps/
Beste wout,
Lerrzaam artikel. Mijn geval komt er echter niet in voor, namelijk adware die aan de samsung internet-app is gekoppeld. Die app kun je niet verwijderen. Hoe dan van de adware (android.adwhirl.a) af te komen?