4 februari 2015 16:27

Het probleem met achterbakse apps

Google heeft drie Android-applicaties uit z'n Play Store verwijderd die miljoenen gebruikers met ongewenste apps probeerden opzadelen. Hoe gaan zo'n adware-apps te werk?

Google haalde vandaag drie apps uit de Play store die ongewenste advertenties naar gebruikers pushten – helaas pas nadat die apps miljoenen keren werden gedownload.

Beveiligingsfirma Avast ontdekte dat de apps langs Googles security-checks waren geslopen, ondanks het feit dat ze duidelijk verdacht gedrag vertoonden, en rapporteerde ze dan ook bij Google zelf.

[related_article id=”158901″]

Het gaat om een Engelstalig kaartspelletje genaamd Durak dat volgens Googles eigen cijfers tussen de vijf en tien miljoen keer werd gedownload sinds december vorig jaar, en om een IQ-test en een geschiedenisapp gericht op Russisch sprekende gebruikers.

In een video beschrijft een slachtoffer van de ongewenste praktijken van de app dat zijn toestel systeemnotificatie-achtige berichten weergaf die hem aanmaanden om op OK te klikken om een onbestaand probleem op te lossen, zoals een trage internetverbinding. Gebruikers die effectief op OK tikten, werden doorgestuurd naar andere apps op Google Play, in sommige gevallen zelfs naar legitieme beveiligingsapps.

Camouflagepraktijken

Filip Chytry, een mobiele malware-analist bij Avast, merkt ook op dat de apps hun slachtoffers in sommige gevallen ook naar externe appwinkels probeerden te leiden, waar het risico op malware vele malen groter is.

Vooral Durak kan er volgens hem in geslaagd zijn om miljoenen installs te verzamelen omdat die in eerste instantie gewoon functioneert als een spelletjesapp.

“Die schijn houdt de app op tot het moment dat je je toestel reboot en een paar dagen wacht. Na een week zal je misschien beginnen voelen dat er iets mis is met je toestel. Sommige apps slagen erin om tot dertig dagen te wachten voor ze hun ware gezicht tonen, “ zegt Chytry. “En wie weet na een maand nog welke app er voor problemen aan het zorgen is?”

Dat is dan ook het grootste probleem voor gebruikers die zich laten vangen door dit soort apps: het is moeilijk om te achterhalen welke app er advertenties en nep-waarschuwingen op je scherm laat verschijnen en je dus van de toestel moet kegelen. De berichten verschijnen daarenboven ook op je toestel als je een echt beveiligingsproduct hebt geïnstalleerd.

Hoe streng is Google?

Avast rapporteerde de apps in kwestie gisteren aan Google, en vandaag werden ze al van de Play store verwijderd. Gebruikers op de Avast-fora claimen echter dat ze de apps al in januari bij Google aangaven als verdacht.

Adware-apps als deze die op Google Play verschijnen is in elk geval geen goed nieuws voor het bedrijf, dat z’n policies voor ontwikkelaars de laatste jaren flink verstrengde om oplichters de deur te wijzen.

De developer content policy van de app store verbiedt virussen, wormen en trojanen uiteraard expliciet, maar ook het versturen van advertenties via de systeemberichten staat op de zwarte lijst, behalve wanneer dit een integraal feature van een app is.

In dit geval werden de achterbakse advertenties aangedreven door drie legitieme externe advertentienetwerken. De instructies om de advertenties weer te geven en daar eerst een paar weken mee te wachten zijn inbegrepen in een Android package file (APK) in de software development kit (SDK) van de advertentienetwerken. Volgens een gebruiker van het Avast-forum zit er in een bepaald pakket in die PAK slechtmenende code inbegrepen die onder andere de browser-homepagina kan wijzigen en launcher shortcuts kan aanmaken.