Op ruim 7,4 miljoen Android apparaten is vooraf geïnstalleerde malware gevonden. De malware was in staat om apparaten over te nemen, apps op de achtergrond te downloaden en advertentiefraude te plegen.
Geld te besparen
De vondst werd gedaan door onderzoekers van Google zelf. De malware is op apparaten terecht gekomen via de fabrikanten van de telefoons. Het gaat dan met name om makers van budget-telefoons, die software van derde partijen gebruiken om geld te besparen. Aanvallers bieden echte diensten aan, en stoppen er vervolgens malware in. Dat vertelt beveiligingsonderzoeker Maddie Stone van Project Zero van Google aan CNet.
Twee grote malware campagnes
De problemen met vooraf geïnstalleerde malware zijn niet nieuw. In de afgelopen drie jaar vonden beveiligingsonderzoekers van Android al twee grote malware-campagnes in vooraf geïnstalleerde apps. Het ging om 'Chamois' en 'Triada', die samen tientallen miljoenen goedkope Android-apparaten infecteerden.
Stone heeft nu drie nieuwe onderzoeken bekendgemaakt. De malware hierbij troffen miljoenen apparaten en zetten Google Play Protect uit. Ook werden activiteiten van gebruikers op internet bespioneerd en konden hackers mogelijk op afstand code draaien op het apparaat.
Google heeft niet bekendgemaakt om welke apparaten het gaat. Ook is niet duidelijk of de makers van de apps ook kwaadaardige bedoelingen hadden.
Maar liefst 225 fabrikanten
Volgens Stone waren er twee zaken waarbij de vooraf geïnstalleerde malware niet als malware bedoeld was. De fouten waren per ongeluk in de diensten verschenen, maar zorgden wel voor beveiligingsrisico’s voor miljoenen mensen. Maar liefst 225 fabrikanten van apparaten hadden apps op hun apparaten gezet met code waarmee remote code execution mogelijk werd. De apps openden een scherm waarmee iedereen die online is zich kan verbinden. Zodra er een verbinding werd opgezet, had die persoon de volledige controle. Volgens Stone trof dit probleem 6 miljoen apparaten, maar werd het binnen een maand opgelost.
Ook multinational 'Honeywell' had kwetsbaarheden geïnstalleerd op Android-apparaten die zijn industriële controlesystemen beheerde. De apps op de Android-apparaten hadden uitgebreide privileges, waardoor een aanvaller wachtwoorden en documenten kon stelen. De fout werd afgelopen september bekendgemaakt.
Virusscanners zien de app niet
Vooraf geïnstalleerde malware is goedgekeurd door de fabrikanten van telefoons, wat een probleem vormt. Virusscanners zien de app daardoor namelijk niet als kwaadaardig, ook niet als een app zich gedraagt als malware.
Bovendien hebben de apps vaak meer machtigingen om taken uit te voeren dan malware die door gebruikers gedownload wordt, en kunnen niet verwijderd worden tenzij de fabrikant een beveiligingsupdate verstuurt. 'Google Play Protect' kan de malafide app wel uitschakelen, maar niet verwijderen.
Het lukt Google maar niet
Het lukt Google maar niet om een einde te maken aan malafide Android apps in de 'Google Play Store'. Weer zijn dertig van die apps ontdekt die 101 miljoen keer waren gedownload. Daaronder woordenboeken, online kaarten en audiospelers.
De malware in de apps wordt doorgaans pas na enkele uren actief. Meestal wordt een clicker trojan geactiveerd om verkeer te genereren waarvoor een vergoeding wordt uitgekeerd.
Volgens virusbestrijder worden nog verschillende van de malafide apps in de 'Play Store' aangeboden.
Bron: drweb, cnet, techzine, emerce