{"id":24283,"date":"2019-10-03T10:00:47","date_gmt":"2019-10-03T08:00:47","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=24283"},"modified":"2020-08-05T16:17:48","modified_gmt":"2020-08-05T14:17:48","slug":"google-play-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/google-play-malware\/24283\/","title":{"rendered":"Alle apps op Google Play zijn veilig: Feit of fabel?"},"content":{"rendered":"

We raden altijd aan om Android-apps in de offici\u00eble winkel te downloaden en nergens anders. Maar dat wil niet zeggen dat er geen virussen in Google Play te vinden zijn. Het is echter wel waar dat u er minder in de offici\u00eble winkel vindt dan op websites van derden, en dat ze regelmatig verwijderd worden.<\/p>\n

<\/h2>\n

Hoe Google de veiligheid van Android-apps in de gaten houdt<\/h2>\n

Het niet eenvoudig om malware op Google Play te krijgen. Voor ze een app publiceren, controleren moderators de app op naleving van een uitgebreide lijst vereisten<\/a>. Als ze een schending vinden, wordt het programma uit de winkel geweerd.<\/p>\n

Maar Google Play ontvangt zo\u2019n enorme hoeveelheid nieuwe apps en updates van bestaande apps, dat het voor de moderators simpelweg onmogelijk is om alles bij te houden. Dus zo nu en dan glippen er schadelijks apps de winkel binnen. Dit zijn een aantal van de meest opvallende incidenten.<\/p>\n

Dual-purpose scanner<\/h3>\n

Onze onderzoekers detecteerden onlangs schadelijke code in CamScanner<\/a>, een app voor het digitaliseren van documenten. De app was niet alleen beschikbaar op Google Play, maar volgens de winkel was hij tevens door meer dan 100 miljoen gebruikers ge\u00efnstalleerd.<\/p>\n

Wat ging er mis? Tot op een bepaald moment was CamScanner een normale app die simpelweg de vermelde functies uitvoerde. De ontwikkelaars van de app leidden inkomsten af uit advertenties en betaalde opties \u2014 tot dusver niets ongebruikelijks. Maar dat veranderde toen er een schadelijke feature aan de app werd toegevoegd.<\/p>\n

Malware in de vorm van de Necro.n Trojan dropper<\/a> sloop een van de advertentie-modules binnen en installeerde een andere Trojan, die als taak had om andere rommel op het apparaat te downloaden\u00a0\u2014 bijvoorbeeld advertentie-apps<\/a> en programma\u2019s die gebruikers achter hun rug om aanmeldden voor betaalde abonnementen voor diensten van derden.<\/p>\n

Onze experts meldden deze bevindingen aan Google, en de administrators verwijderden de app uit de winkel. De ontwikkelaars van CamScanner verwijderden ook onmiddellijk de schadelijke modules van de app om hem terug de winkel in te krijgen. De ge\u00efnfecteerde versie was echter al geruime tijd beschikbaar voor downloads.<\/p>\n\n

Stelende mediaspeler<\/h3>\n

CamScanner is absoluut niet het enige voorbeeld van een app die schadelijke features zag verschijnen nadat hij al beschikbaar was geworden in de Google Play Store. De makers van een Trojan vermomd als mediaspeler voor muziek in VKontakte (VK) slaagden er jarenlang in om de moderators van de winkel op dezelfde wijze te omzeilen.<\/p>\n

Er werd in eerste instantie een schone versie op Google Play ge\u00fcpload, gevolgd door een aantal onschadelijke updates. Maar na een paar updates begon de app met het stelen van de inloggegevens voor VK-accounts. De slachtoffers wisten hier hoogstwaarschijnlijk ook niets van af, en hun accounts werden heimelijk gebruikt om VK-groepen te promoten.<\/p>\n

Toen de ge\u00fcpdatete versie van de mediaspeler werd ontmaskerd en uit de winkel werd verwijderd, uploadden de makers onmiddellijk een nieuwe (meerdere zelfs). In 2015 werden er maar liefst zeven verschillende versies van het schadelijke programma verwijderd van Google Play<\/a>. En nog een paar meer in 2016. Gedurende een periode van twee maanden in 2017 telden onze analisten 85 van zulke apps<\/a> op Google Play, waarvan er \u00e9\u00e9n meer dan een miljoen keer was gedownload. Er verschenen daarnaast ook nepversies van Telegram van dezelfde auteurs in de winkel\u00a0\u2014 deze apps stalen geen wachtwoorden, maar voegde het slachtoffer toe aan groepen en chats die van belang waren voor de cybercriminelen.<\/p>\n

Kwaadaardig leger op Google Play<\/h3>\n

Helaas is de telling van 85 kopie\u00ebn van schadelijke apps nog niet het einde van het verhaal. In 2016 vonden experts maar liefst 400 games en andere programma\u2019s<\/a> op Google Play die waren uitgerust met de DressCode Trojan.<\/p>\n

Eenmaal op het apparaat van het slachtoffer, maakt de malware verbinding met de command-and-contol-server en ging vervolgens \u201cslapen\u201d. Later gebruiken cybercriminelen zulke ge\u00efnfecteerde slaper-gadgets voor DDoS-aanvallen om kliks op ad-banners op te drijven, of om lokale netwerken te infiltreren waar de gadgets mee verbonden zijn, zoals een thuisnetwerk of de infrastructuur van een bedrijf.<\/p>\n

De Google Play-moderators kunnen in alle eerlijkheid niet de schuld krijgen toegeschoven voor deze onoplettendheid; DressCode is erg moeilijk te spotten \u2014 de code is zo klein dat hij bedolven kan raken in die van de media-app. Daarnaast werden er beduidend meer ge\u00efnfecteerde programma\u2019s gedetecteerd op sites van derden dan op Google Play \u2014 in het totaal vonden de onderzoekers zo\u2019n 3.000 games, skins en opschoon-apps voor smartphones die de DressCode Trojan bevatten. Maar 400 is nog altijd erg veel.<\/p>\n

Hoe voorkomt u de installatie van malware op Google Play?<\/h2>\n

Zoals u ziet, betekent het eenvoudige feit dat een app in de offici\u00eble Android-winkel te vinden is niet dat het veilig is \u2014 soms sluipt er toch malware binnen. Om een infectie te voorkomen, dient u voorzichtig te zijn bij alle programma\u2019s, ook programma\u2019s op Google Play, en een aantal regels voor digitale hygi\u00ebne in acht houden.<\/p>\n