Nieuwe Vapor-malware treft ruim 60 miljoen Android-telefoons
Eerder deze maand werd al bekend dat Google na meldingen van Integral Ad Science meer dan 180 malware-apps uit de Play Store heeft verwijderd vanwege advertentiefraude. Bij dergelijke fraude worden adverteerders misleid: zij denken grote sommen geld te betalen voor zichtbaarheid bij gebruikers, terwijl die gebruikers de advertenties in werkelijkheid niet of nauwelijks te zien krijgen. Soms worden de advertenties echter wel getoond door ze bovenop andere apps te laden, zonder dat de gebruiker de optie heeft om terug te keren naar het startscherm.
Via Bitdefender is deze week naar buiten gekomen dat het aantal apps met de Vapor-malware aanzienlijk hoger ligt dan eerder gedacht. De beveiligingsonderzoekers stellen dat er zo’n 331 schadelijke Vapor-apps in de Play Store zijn aangetroffen, die zich met name richten op gebruikers in Brazilië, Mexico, Turkije, de VS en Zuid-Korea.
Naast advertentiefraude, waarbij adverteerders worden misleid, proberen deze schadelijke Android-apps ook inloggegevens, creditcardgegevens en andere gebruikersdata buit te maken, blijkt uit de berichtgeving.
Apps zijn lastig te detecteren
Dat het aantal gedetecteerde apps blijft oplopen, heeft er volgens Bitdefender mee te maken dat de apps in de basis niet schadelijk zijn. Bij het indienen van de apps is de malware nog niet aanwezig, waardoor ze Googles beveiligingscontroles doorstaan. Pas later wordt de malware toegevoegd via een command-and-control-server (C2).
Bovendien bevatten de apps daadwerkelijk de beloofde functies die op de productpagina staan vermeld. Dat maakt het voor Google vrijwel onmogelijk om deze apps al bij publicatie tegen te houden. Daarnaast creëren de aanvallers continu nieuwe Play Store-accounts om de apps te publiceren en uploaden ze telkens een klein aantal apps, zodat de gevolgen van een take-down beperkt blijven.
Onzichtbaar voor gebruikers
Zelfs voor gebruikers is het lastig om deze malware-apps op te sporen. Na installatie worden de apps verborgen in de launcher door aanpassingen in het AndroidManifest. Ook wijzigen ze regelmatig hun naam in het instellingenmenu naar die van legitieme apps (zoals Google Voice) om minder op te vallen.
Google zegt alle schadelijke apps die Bitdefender en IAS hebben gedetecteerd inmiddels uit de Play Store te hebben verwijderd. In totaal gaat het om apps met ruim 60 miljoen gebruikers, waarvan sommige zelfs meer dan 1 miljoen downloads hebben:
- AquaTracker: 1 miljoen downloads
- ClickSave Downloader: 1 miljoen downloads
- Scan Hawk: 1 miljoen downloads
- Water Time Tracker: 1 miljoen downloads
- Be More: 1 miljoen downloads
- BeatWatch: 500.000 downloads
- TranslateScan: 100.000 downloads
- Handset Locator: 50.000 downloads
Via de website van Bitdefender kan je de volledige lijst met 331 malafide apps raadplegen. Denk je een van deze apps te hebben gedownload? Verwijder deze dan onmiddellijk van je telefoon. In principe worden gebruikers hierover geïnformeerd via Play Protect. Wie deze beveiligingssoftware heeft uitgeschakeld, moet zelf controleren of de schadelijke apps aanwezig zijn.
