Miljoenen Android-gebruikers getroffen door nieuwe trojans
Onderzoekers van Doctor Web wijzen erop dat de trojans verstopt zitten in alledaagse, onschuldig ogende apps. Zo ontdekten onderzoekers HiddenAds-malware in games van Freezing Game Studio. De gameontwikkelaar bracht ogenschijnlijk ongevaarlijke games als Agent Shooter, Rainbow Stretch en Super Skibydi Killer uit in de Play Store. Apps die dus elks besmet zijn met malware.
Naast HiddenAds-malware, kwamen de onderzoekers ook apps met FakeApp- en Joker-trojans op het spoor. Die eerstgenoemde categorie wordt met name ingevuld door financiële applicaties, vaak met een focus op Bitcoin en andere cryptocurrencies. Joker-trojans komen eerder voor in meer alledaagse diensten, zoals achtergrond- en berichtenapps. Love Emoji Messenger wordt getoond als voorbeeld van zulke Joker-malware. Die app verzamelde reeds meer dan 50.000 downloads. Voor andere apps die de onderzoekers tegenkwamen geldt dat ze ‘enkele tot tienduizenden’ downloads wisten te vergaren.
Tot op heden zouden de nieuwe trojanvarianten meer dan twee miljoen slachtoffers gemaakt hebben. De snelle verspreiding wordt mogelijk gemaakt door de Play Store, waar malafide apps regelmatig in lijsten met populaire apps worden getoond. Ten tijde van het schrijven van dit artikel waren de apps genoemd door de schrijvers niet langer beschikbaar in de appwinkel. Is het trojanprobleem daarmee opgelost? Dat zeker niet. Hackers zullen altijd manieren zoeken om de malware te verbergen.
Is mijn toestel geïnfecteerd?
Elk type malware heeft zijn eigen uitwerking. Voor de HiddenAds-, FakeApp- en Joker-trojans is dat niet anders. Hoe je kan opmerken of je een geïnfecteerde app hebt geïnstalleerd? Hieronder zijn voor elk van de genoemde trojans de gedragingen opgesomd.
- HiddenAds: voor HiddenAds geldt dat je plots veel opdringerige reclame tegenkomt, zonder dat je weet waar die vandaan komt. Het nadeel van dit type trojan is dat hij zich goed weet te verbergen. Vaak verwijdert hij hiervoor zijn icoontje van je startscherm, of wijzigt het plots zijn icoontje naar dat van een andere, gekende app als Chrome;
- FakeApp: dit type trojan spreekt relatief voor zich. De app werkt namelijk niet zoals de Play Store-beschrijving je wil doen geloven. In plaats daarvan sturen zulke apps je meestal naar malafide websites of casino’s, waar ze om investeringen vragen. De ontwikkelaars hopen vervolgens dat gebruikers in zulke verzoeken trappen;
- Joker: dit is in principe geen nieuwe vorm van trojan en wordt al langer ingezet op Android. Met de Joker-trojan proberen hackers betalende abonnementen af te sluiten op kosten van de gebruiker. Hiervoor versturen ze ongezien sms-berichten naar malafide diensten. In een meer recente versie van de Joker-trojan werken ze met uitvoerbare bestanden die, zonder dat je het weet, abonnementen afsluit. Zulke abonnementen vind je ook niet terug in Google’s Play Store-console.
Bij de Joker-malware is het van belang om je maandelijkse factuur van je telecomprovider goed in de gaten te houden. Daar zouden de kosten namelijk moeten verschijnen. Over het geheel genomen is het verstandig om niet zomaar apps uit de Play Store te downloaden. Hoewel Google apps scant die in zijn appwinkel staan, ontdekt het niet alle vormen van malware.
Play Protect-scans
Op termijn staat dit wel te veranderen. Google gaat namelijk realtime apps scannen die je installeert met Play Protect. Hierbij let het op verdachte omstandigheden. Apps die ‘verdachte gedragingen’ vertonen, worden aangedragen ter verwijdering.
