Nieuwe Android-malware pleegt advertentiefraude op jouw telefoon
Android-malware is normaal gesproken gericht op het stelen van logingegevens of andere gevoelige data. Dit nieuwe type malware pakt het anders aan. Via een techniek genaamd clickjacking probeert het geld te verdienen, niet door informatie te stelen, maar door jouw telefoon advertenties te laten bekijken en aanklikken alsof jij dat zelf doet.
AI klikt op advertenties namens jou
De kwaadwillenden maken daarbij gebruik van AI, meer specifiek Googles TensorFlow.js-bibliotheek. Daarmee worden advertentie-interacties nagebootst alsof ze door een echte gebruiker worden uitgevoerd. Dat gebeurt binnen specifieke apps en games, waarbij de ontwikkelaar de advertentiefraude inzet om het aantal advertentieweergaven en kliks kunstmatig op te schroeven. Zo verdienen ze simpelweg meer geld aan hun apps.
Gebruikers hoeven daar zelf niets voor te doen. De AI, of beter gezegd machine learning-modules, voeren de acties automatisch uit. Alleen wanneer die modules om wat voor reden dan ook falen, wordt het scherm van geïnfecteerde toestellen soms handmatig overgenomen. Dat gebeurt via een techniek die ‘signalling’ wordt genoemd, bijvoorbeeld om te scrollen of alsnog op advertenties te tikken.
Verspreid via Xiaomi’s appwinkel
Onderzoekers van Dr. Web, die de trojan ontdekten, stellen dat de malware wordt verspreid via de GetApps-appwinkel van Xiaomi. Dit is de officiële appwinkel van het merk, waar allerlei games en apps worden aangeboden. Opvallend is dat alle geïnfecteerde apps afkomstig zijn van één ontwikkelaar: Shenzhen Ruiren Network Co. Ltd. De apps van deze partij zijn daarnaast ook los te downloaden als apk-bestanden.
De besmette games zijn bovendien al behoorlijk vaak geïnstalleerd:
- Theft Auto Mafia: 61.000 downloads
- Cute Pet House: 34.000 downloads
- Creation Magic World: 32.000 downloads
- Amazing Unicorn Party – 13.000 downloads
- Open World Gangsters: 11.000 downloads
- Sakura Dream Academy: 4.000 downloads
Daarnaast circuleren er ook ‘modded’ versies van populaire apps zoals Spotify, YouTube, Deezer en Netflix waarin dezelfde clickjacking-trojan is verwerkt. Sommige van deze apps functioneren grotendeels zoals je zou verwachten, waardoor gebruikers weinig reden hebben om argwaan te krijgen.
Voor de gebruiker blijft de aanval volledig onzichtbaar. De advertentiefraude vindt plaats in een verborgen WebView-venster, waardoor je niets merkt van de activiteiten op de achtergrond.
Zoals zo vaak luidt het advies dan ook: installeer geen apps van buiten de Play Store, tenzij je de bron écht vertrouwt. Zelfs appwinkels van grote merken zoals Xiaomi kunnen qua beveiliging niet tippen aan de Play Store. Google is zeker niet foutloos, maar heeft de controles en beveiliging beter op orde dan de meeste andere partijen.
