Adware ontdekt in ruim 800 apps in Google Play

Meer dan 800 Android apps die via Google Play beschikbaar waren blijken adware te hebben bevat die door cybercriminelen is gebruikt om informatie over gebruikers te verzamelen. De adware kan ook worden misbruikt om additionele malware op Android-apparaten te installeren.

Hiervoor waarschuwt beveiligingsonderzoekers Graham Cluley. De adware heet Xavier en wordt door Trend Micro omschreven als een ‘informatiestelende ad library’. Xavier is onderdeel van de AdDown familie van adware. De eerste versie van deze adware verscheen begin 2015 en heet joymobile. Deze adware verzamelt en verstuurt gebruikersinformatie onversleuteld door naar cybercriminelen. Ook kan deze adware worden misbruikt om andere APK’s te installeren op besmette Android-apparaten. Dit kan joymobile ongemerkt doen indien het Android-apparaat is geroot.

nativemob

Joymobile heeft in september 2015 een update gekregen. Versie 2 van de AdDown adware - genaamd nativemob - bevat een aantal nieuwe features en verzamelt meer informatie over gebruikers. De adware is niet langer in staat ongemerkt APK’s installeren op besmette systemen. APK’s kunnen echter nog wel worden geïnstalleerd indien een onoplettende of onwetende gebruiker deze installatie zelf goedkeurt. Alle data die nativemob verstuurd wordt versleuteld, wat detectie van het C&C-verkeer moeilijker maakt.

nativemob heeft in september 2016 een update gekregen. Versie 3 van de AdDown adware heet Xavier en is de meest recente versie van de kwaadaardige software. Deze adware gaat professioneler te werken en versleutelt delen van zijn eigen code om zowel statische als dynamische analyses tegen te gaan, met als doel detectie te voorkomen. Daarnaast wordt het dataverkeer van en naar de adware versleuteld om detectie van dit verkeer tegen te gaan. De adware is voornamelijk gericht op het verzamelen van data over gebruikers en het apparaat waarmee zij werken. Denk hierbij aan de naam van de fabrikant van dit apparaat, het device ID en welke versie van het besturingssysteem op het apparaat geïnstalleerd is.

Malafide code downloaden en uitvoeren

In tegenstelling tot zijn voorgangers probeert Xavier niet langer andere APK’s op het apparaat van zijn slachtoffer te installeren. Xavier is echter wel in staat malafide code te downloaden en uit te voeren op getroffen apparaten. Trend Micro noemt dit één van de meest gevaarlijke aspecten van Xavier. Het gedrag van Xavier is in belangrijke mate afhankelijk van de code die het download, die wordt geconfigureerd door de makers en via servers naar de adware wordt verstuurd.

De adware blijkt aanwezig te zijn geweest in ruim 800 apps die via de officiële appwinkel van Google - de Play Store - beschikbaar waren. Het gaat hierbij om uiteenlopende apps, variërend van apps met achtergrondafbeeldingen en ringtones tot apps waarmee een mobiel apparaat via GPS kan worden opgespoord. Dit is mogelijk doordat de cybercriminelen een software development kit (SDK) hebben verspreid waarmee ontwikkelaars de ad library kunnen toevoegen aan hun apps om advertentie-inkomsten te genereren. Hierdoor hebben ontwikkelaars Xavier ongemerkt toegevoegd aan hun apps.

75 apps verwijderd

Google heeft inmiddels maatregelen genomen en is begonnen met het verwijderen van getroffen apps uit de Play Store. Een overzicht van de 75 apps die inmiddels zijn verwijderd is hier te vinden. Veruit de meeste apps zijn geïnstalleerd vanuit Zuidoost-Azië.

Lees ook
Nieuwe versies FinSpy spionagesoftware in omloop

Nieuwe versies FinSpy spionagesoftware in omloop

Kaspersky-experts hebben nieuwe versies ontdekt van de geavanceerde kwaadaardige spionagetool FinSpy. Deze varianten werken op iOS en Android-apparatuur en zijn in staat activiteiten te volgen van zo goed als alle populaire berichtendiensten ondanks versleuteling. De nieuwe FinSpy versies wissen bovendien hun sporen beter uit dan vorige versies. Zo...

Mac-malware en webapplicatie-exploits winnen aan populariteit

Mac-malware en webapplicatie-exploits winnen aan populariteit

De dreiging van malware groeit, zo blijkt uit de nieuwste editie van het Internet Security Report van WatchGuard Technologies. De securityspecialist detecteerde in het eerste kwartaal van 2019 maar liefst 62 procent meer malware dan in het kwartaal daarvoor. Cybercriminelen maken gebruik van een breed scala aan aanvalstechnieken, waaronder schadelijke...

G DATA ziet explosieve toename van Emotet malware

G DATA ziet explosieve toename van Emotet malware

Eerste halfjaar van 2019 zijn meer varianten waargenomen dan in heel 2018  G DATA kondigt aan dat het een explosieve toename ziet van Emotet malware. De onderzoekers van G DATA SecurityLab namen het afgelopen halfjaar meer varianten van de malware waar dan in heel 2018. In het eerste halfjaar van 2019 zag G DATA SecurityLab maar liefst 33.000 varianten,...