Malafide filesharing-app stond twee jaar lang in Play Store
De app beloofde het gemakkelijker te maken om bestanden via wifi te delen, zoals dat ook kan via AirDrop en Quick Share. In de praktijk verspreidde AirFS echter vooral de Mandrake-spyware, die aanvallers verregaande controle geeft over Android-telefoons. Gebruikers klaagden er ook over dat de app niet werkte, meldt Kaspersky.
Vijf apps in de Play Store
De onderzoekers van Kaspersky schreven in 2020 voor het eerst over de Mandrake-spyware. In april 2024 kwamen ze een ‘nieuwe versie’ van de spyware op het spoor, waarvan later bleek dat deze actief is gebruikt voor Android-apps. Analyse wijst uit dat er vijf apps in de Play Store hebben gestaan die besmet waren met de Mandrake-spyware. Van die apps is AirFS de grootste, met ongeveer 30.000 downloads in twee jaar tijd. De app werd uitgebracht in april 2022 en verdween op 16 maart 2024 uit de Play Store. In totaal werden de vijf apps zo’n 32.000 keer gedownload.
Met de Mandrake-spyware krijgen aanvallers, zoals gezegd, verregaande controle over Android-telefoons. Hierdoor kunnen ze sms-berichten verzenden, GPS activeren, gebruikersdata van de telefoon en apps, inclusief wachtwoorden, stelen en zelfs apps installeren en verwijderen. Het malwarepakket wordt volgens Kaspersky ook misbruikt om overlays te plaatsen over apps: dat stelt hackers in staat inloggegevens te stelen zonder dat het slachtoffer dit opmerkt.
Spyware blijft onopgemerkt
Opmerkelijk is ook de conclusie van de onderzoekers dat antivirussoftware de spyware nog niet kan opsporen. Scans in de populaire VirusTotal-software leverden 0 hits op. Kortom: de antivirussoftware dacht dat de bestanden veilig waren. Vermoedelijk is dat het resultaat van wijzigingen die de aanvallers hebben aangebracht bij de nieuwe variant van de spyware.
Het is onwaarschijnlijk dat gebruikers nog een van de vijf geïnfecteerde apps op hun telefoon hebben staan. Google heeft deze namelijk al eerder uit de Play Store verwijderd. Toch doe je er goed aan om voorzichtig om te gaan met apps die in de winkel staan. Controleer bovendien even of de volgende vijf apps niet op je toestel staan:
- AirFS
- Astro Explorer
- Amber
- CryptoPulsing
- Brain Matrix