Minecraft-apps lokken gebruikers naar malware
Een nieuw type Android-malware heeft miljoenen toestellen tot een botnet ingelijfd. In totaal detecteerde Symantec 8 apps die je Minecraft-personage van een andere ‘skin’ voorzien. De software – die je van de Play Store kon downloaden – voert deze taak plichtsgetrouw uit, maar contacteert op de achtergrond eveneens een command and control server. Volgens Symantec werd één van de apps maar liefst 2,6 miljoen keer gedownload.
Advertenties
De apps waarmee je het uiterlijk van je Minecraft-personage verandert, connecteren met een command and control server via poort 9001 om bijkomende commando’s te ontvangen. Deze server vertelt de app om een socket te openen en te wachten op een verbinding met een bepaald IP-adres. Via dat adres wordt een commando verstuurd om met een andere server te verbinden, waar de app een lijst met advertenties krijgt. Vervolgens connecteert de app met een advertentieserver om advertentievragen te versturen.
[related_article id=”219712″]De Minecraft-apps zijn niet in staat om advertenties te tonen. Wel is bovengenoemde methode erg flexibel, waardoor de cybercriminelen het kunnen inzetten om misbruik te maken van verschillende netwerklekken. Bovendien kunnen de hackers je geïnfecteerde toestel via deze weg gebruiken om distributed denial of service (DDoS)-aanvallen uit te voeren.
Te laat
Symantec bracht Google op de hoogte van het probleem, waarna het bedrijf de kwaadaardige apps van de Play Store verwijderde. Ondertussen hebben de applicaties al miljoenen slachtoffers kunnen maken. Bovendien is het niet de eerste keer dat kwaadaardige apps hun weg vinden naar de Play Store. Zo bleek één van de populairste Android-spellen in de Google Play Store vorig jaar malware te bevatten. Google lijkt dan ook achter de feiten aan te lopen wat malware in zijn Store betreft.
Hoe komt het dat malware keer op keer zijn weg vindt naar de Play Store – een online winkel die door velen als veilig wordt beschouwd? In het geval van de recente Minecraft-apps gebruikte de ontwikkelaar verschillende methodes om detectie te omzeilen. Zo werd de kwaadaardige code verborgen in de software en werden de belangrijkste commando’s geëncrypteerd. Basisdetectiemethodes kunnen op deze manier erg eenvoudig omzeild worden. Bovendien gebruikte de ontwikkelaar voor iedere app een andere ontwikkelaarssleutel. Statische analyses slagen er hierdoor evenmin in de cybercriminelen aan de kraag te vatten.
Voorzichtig
Google controleert wel degelijk de apps die in zijn Store komen, maar is klaarblijkelijk niet in staat alle malware te ontdekken voordat deze slachtoffers maken. Je kan er daardoor niet vanuit gaan dat alle apps op de Store sowieso veilig zijn. Kijk goed na wie een app heeft ontwikkeld en vraag je af of je bepaalde, mysterieuze software wel echt nodig hebt. Indien het antwoord op deze vraag nee is, laat je de app beter links liggen.