Twee kwaadaardige Android apps ontdekt in de Google Play Store

IT-beveiligingsonderzoekers hebben onlangs twee kwaadaardige Android-apps ontdekt in de Google Play Store. Deze apps doen zich voor als bestandsbeheerders, maar in werkelijkheid sturen ze grote hoeveelheden gegevens naar servers in China, zonder dat gebruikers hiervan op de hoogte zijn.

Volgens een blogpost van Pradeo vertonen de spyware-apps vergelijkbaar kwaadaardig gedrag en zijn ze ontwikkeld door dezelfde partij. Ze zijn zo geprogrammeerd dat ze automatisch en in stilte worden gestart, zonder enige interactie van de gebruiker. Vervolgens sturen ze heimelijk gevoelige gebruikersgegevens naar servers in China. De onderzoekers hebben Google op de hoogte gebracht van deze malware.

De twee betrokken apps zijn “Bestandsherstel en Gegevensherstel” (com.spot.music.filedate) met meer dan een miljoen downloads, en “Bestandsbeheer” (com.file.box.master.gkd) met meer dan 500.000 installaties. In de app-beschrijving beweren ze geen gegevens te verzamelen, maar als er toch gegevens worden verzameld, hebben gebruikers geen mogelijkheid om ze te laten verwijderen. De Pradeo-onderzoekers benadrukken dat dit duidelijk in strijd is met gegevensbeschermingswetten zoals de AVG.

Deze apps verzamelen en verzenden uitgebreide gegevens, waaronder contactlijsten van gebruikers, zowel van het apparaat zelf als van gekoppelde accounts zoals e-mail en sociale netwerken. Daarnaast worden mediabestanden zoals afbeeldingen, geluid en video’s, realtime gebruikerslocatie, landcode, naam van netwerkproviders, netwerkcode van de simprovider, versie van het besturingssysteem en het merk en model van het apparaat verzameld. Elke app voert meer dan honderd gegevensoverdrachten uit.

Om een grotere verspreiding te bereiken, hebben de ontwikkelaars verschillende strategieën gevolgd. Enerzijds zien de apps er legitiem uit, omdat ze een groot aantal installaties hebben in de Play Store, waardoor ze betrouwbaar lijken. Echter, er ontbreken gebruikersbeoordelingen en recensies. De onderzoekers vermoeden dat de cybercriminelen mogelijk een “installatiefarm” of emulators van mobiele apparaten hebben gebruikt om het aantal downloads te verhogen en zo een betere ranking te verkrijgen.

Omdat gebruikers vaak apps installeren zonder ze daadwerkelijk te gebruiken, vragen deze apps om bepaalde machtigingen waarmee ze het apparaat kunnen herstarten. Op deze manier kunnen de apps zichzelf automatisch opstarten na zo’n herstart. Ze maken het ook moeilijker om ze te verwijderen, omdat ze hun programmapictogram verbergen in de launcher.

Pradeo adviseert gebruikers om geen apps te downloaden die wel duizenden gebruikers hebben maar geen recensies. Als er wel beoordelingen zijn, moeten gebruikers deze zorgvuldig lezen, aangezien die bij kwaadaardige apps vaak dezelfde teksten bevatten. Daarnaast moeten gebruikers voorzichtig zijn bij het verlenen van rechten aan apps en deze zorgvuldig lezen voordat ze worden geaccepteerd.