Alle apps op Google Play zijn veilig: Feit of fabel?

Er is geen malware te vinden in de officiële Android-winkel, toch? Wij zoeken dit tot op de bodem uit.

We raden altijd aan om Android-apps in de officiële winkel te downloaden en nergens anders. Maar dat wil niet zeggen dat er geen virussen in Google Play te vinden zijn. Het is echter wel waar dat u er minder in de officiële winkel vindt dan op websites van derden, en dat ze regelmatig verwijderd worden.

Hoe Google de veiligheid van Android-apps in de gaten houdt

Het niet eenvoudig om malware op Google Play te krijgen. Voor ze een app publiceren, controleren moderators de app op naleving van een uitgebreide lijst vereisten. Als ze een schending vinden, wordt het programma uit de winkel geweerd.

Maar Google Play ontvangt zo’n enorme hoeveelheid nieuwe apps en updates van bestaande apps, dat het voor de moderators simpelweg onmogelijk is om alles bij te houden. Dus zo nu en dan glippen er schadelijks apps de winkel binnen. Dit zijn een aantal van de meest opvallende incidenten.

Dual-purpose scanner

Onze onderzoekers detecteerden onlangs schadelijke code in CamScanner, een app voor het digitaliseren van documenten. De app was niet alleen beschikbaar op Google Play, maar volgens de winkel was hij tevens door meer dan 100 miljoen gebruikers geïnstalleerd.

Wat ging er mis? Tot op een bepaald moment was CamScanner een normale app die simpelweg de vermelde functies uitvoerde. De ontwikkelaars van de app leidden inkomsten af uit advertenties en betaalde opties — tot dusver niets ongebruikelijks. Maar dat veranderde toen er een schadelijke feature aan de app werd toegevoegd.

Malware in de vorm van de Necro.n Trojan dropper sloop een van de advertentie-modules binnen en installeerde een andere Trojan, die als taak had om andere rommel op het apparaat te downloaden — bijvoorbeeld advertentie-apps en programma’s die gebruikers achter hun rug om aanmeldden voor betaalde abonnementen voor diensten van derden.

Onze experts meldden deze bevindingen aan Google, en de administrators verwijderden de app uit de winkel. De ontwikkelaars van CamScanner verwijderden ook onmiddellijk de schadelijke modules van de app om hem terug de winkel in te krijgen. De geïnfecteerde versie was echter al geruime tijd beschikbaar voor downloads.

Stelende mediaspeler

CamScanner is absoluut niet het enige voorbeeld van een app die schadelijke features zag verschijnen nadat hij al beschikbaar was geworden in de Google Play Store. De makers van een Trojan vermomd als mediaspeler voor muziek in VKontakte (VK) slaagden er jarenlang in om de moderators van de winkel op dezelfde wijze te omzeilen.

Er werd in eerste instantie een schone versie op Google Play geüpload, gevolgd door een aantal onschadelijke updates. Maar na een paar updates begon de app met het stelen van de inloggegevens voor VK-accounts. De slachtoffers wisten hier hoogstwaarschijnlijk ook niets van af, en hun accounts werden heimelijk gebruikt om VK-groepen te promoten.

Toen de geüpdatete versie van de mediaspeler werd ontmaskerd en uit de winkel werd verwijderd, uploadden de makers onmiddellijk een nieuwe (meerdere zelfs). In 2015 werden er maar liefst zeven verschillende versies van het schadelijke programma verwijderd van Google Play. En nog een paar meer in 2016. Gedurende een periode van twee maanden in 2017 telden onze analisten 85 van zulke apps op Google Play, waarvan er één meer dan een miljoen keer was gedownload. Er verschenen daarnaast ook nepversies van Telegram van dezelfde auteurs in de winkel — deze apps stalen geen wachtwoorden, maar voegde het slachtoffer toe aan groepen en chats die van belang waren voor de cybercriminelen.

Kwaadaardig leger op Google Play

Helaas is de telling van 85 kopieën van schadelijke apps nog niet het einde van het verhaal. In 2016 vonden experts maar liefst 400 games en andere programma’s op Google Play die waren uitgerust met de DressCode Trojan.

Eenmaal op het apparaat van het slachtoffer, maakt de malware verbinding met de command-and-contol-server en ging vervolgens “slapen”. Later gebruiken cybercriminelen zulke geïnfecteerde slaper-gadgets voor DDoS-aanvallen om kliks op ad-banners op te drijven, of om lokale netwerken te infiltreren waar de gadgets mee verbonden zijn, zoals een thuisnetwerk of de infrastructuur van een bedrijf.

De Google Play-moderators kunnen in alle eerlijkheid niet de schuld krijgen toegeschoven voor deze onoplettendheid; DressCode is erg moeilijk te spotten — de code is zo klein dat hij bedolven kan raken in die van de media-app. Daarnaast werden er beduidend meer geïnfecteerde programma’s gedetecteerd op sites van derden dan op Google Play — in het totaal vonden de onderzoekers zo’n 3.000 games, skins en opschoon-apps voor smartphones die de DressCode Trojan bevatten. Maar 400 is nog altijd erg veel.

Hoe voorkomt u de installatie van malware op Google Play?

Zoals u ziet, betekent het eenvoudige feit dat een app in de officiële Android-winkel te vinden is niet dat het veilig is — soms sluipt er toch malware binnen. Om een infectie te voorkomen, dient u voorzichtig te zijn bij alle programma’s, ook programma’s op Google Play, en een aantal regels voor digitale hygiëne in acht houden.

  • Download apps niet rechtstreeks op uw smartphone. Lees eerst gebruikersbeoordelingen van de app — die kunnen waardevolle informatie over het gedrag van de app bevatten. Zoek informatie over de ontwikkelaar; misschien zijn er al eerdere creaties uit de winkel verwijderd, of is deze gelinkt aan dubieuze verhalen.
  • Lees zorgvuldig de gebruikersbeoordelingen. Houd er rekening mee dat sommige schimmige ontwikkelaars hun pagina’s soms overspoelen met positieve beoordelingen, dus zoek op beoordelingen van een redelijke lengte (niet simpelweg “Geweldige app!” na “Geweldige app!”) die natuurlijke taal gebruiken en er echt uitzien.
  • Zorg ervoor dat u als regel uw Android-smartphone of -tablet elke paar maanden opschoont van onnodige programma’s. Hoe minder apps er op uw apparaat staat, hoe makkelijker het is om er toezicht op te houden en ze te controleren.
  • Gebruik een betrouwbaar beveiligingssysteem— dit beschermt u tegen dreigingen die de Google Play-moderators over het hoofd zien.

 

Dus is het een feit of fabel dat er geen schadelijke apps op Google Play staan?

Fabel. Malware komt zo nu en dan op Google Play terecht. Het risico van het oppikken van een infectie in de officiële Android-winkel ligt veel lager dan op sites van derden, maar bestaat wel.

Tips

VLAN als een aanvullende beveiligingslaag

Sommige werknemers hebben veel te maken met externe e-mails, waardoor ze het risico lopen om slachtoffer te worden van kwaadaardige spam. Wij leggen uit hoe bedrijfssystemen beschermd kunnen worden tegen potentiële infecties.