Adware ontdekt in ruim 800 apps in Google Play

Meer dan 800 Android apps die via Google Play beschikbaar waren blijken adware te hebben bevat die door cybercriminelen is gebruikt om informatie over gebruikers te verzamelen. De adware kan ook worden misbruikt om additionele malware op Android-apparaten te installeren.

Hiervoor waarschuwt beveiligingsonderzoekers Graham Cluley. De adware heet Xavier en wordt door Trend Micro omschreven als een ‘informatiestelende ad library’. Xavier is onderdeel van de AdDown familie van adware. De eerste versie van deze adware verscheen begin 2015 en heet joymobile. Deze adware verzamelt en verstuurt gebruikersinformatie onversleuteld door naar cybercriminelen. Ook kan deze adware worden misbruikt om andere APK’s te installeren op besmette Android-apparaten. Dit kan joymobile ongemerkt doen indien het Android-apparaat is geroot.

nativemob

Joymobile heeft in september 2015 een update gekregen. Versie 2 van de AdDown adware - genaamd nativemob - bevat een aantal nieuwe features en verzamelt meer informatie over gebruikers. De adware is niet langer in staat ongemerkt APK’s installeren op besmette systemen. APK’s kunnen echter nog wel worden geïnstalleerd indien een onoplettende of onwetende gebruiker deze installatie zelf goedkeurt. Alle data die nativemob verstuurd wordt versleuteld, wat detectie van het C&C-verkeer moeilijker maakt.

nativemob heeft in september 2016 een update gekregen. Versie 3 van de AdDown adware heet Xavier en is de meest recente versie van de kwaadaardige software. Deze adware gaat professioneler te werken en versleutelt delen van zijn eigen code om zowel statische als dynamische analyses tegen te gaan, met als doel detectie te voorkomen. Daarnaast wordt het dataverkeer van en naar de adware versleuteld om detectie van dit verkeer tegen te gaan. De adware is voornamelijk gericht op het verzamelen van data over gebruikers en het apparaat waarmee zij werken. Denk hierbij aan de naam van de fabrikant van dit apparaat, het device ID en welke versie van het besturingssysteem op het apparaat geïnstalleerd is.

Malafide code downloaden en uitvoeren

In tegenstelling tot zijn voorgangers probeert Xavier niet langer andere APK’s op het apparaat van zijn slachtoffer te installeren. Xavier is echter wel in staat malafide code te downloaden en uit te voeren op getroffen apparaten. Trend Micro noemt dit één van de meest gevaarlijke aspecten van Xavier. Het gedrag van Xavier is in belangrijke mate afhankelijk van de code die het download, die wordt geconfigureerd door de makers en via servers naar de adware wordt verstuurd.

De adware blijkt aanwezig te zijn geweest in ruim 800 apps die via de officiële appwinkel van Google - de Play Store - beschikbaar waren. Het gaat hierbij om uiteenlopende apps, variërend van apps met achtergrondafbeeldingen en ringtones tot apps waarmee een mobiel apparaat via GPS kan worden opgespoord. Dit is mogelijk doordat de cybercriminelen een software development kit (SDK) hebben verspreid waarmee ontwikkelaars de ad library kunnen toevoegen aan hun apps om advertentie-inkomsten te genereren. Hierdoor hebben ontwikkelaars Xavier ongemerkt toegevoegd aan hun apps.

75 apps verwijderd

Google heeft inmiddels maatregelen genomen en is begonnen met het verwijderen van getroffen apps uit de Play Store. Een overzicht van de 75 apps die inmiddels zijn verwijderd is hier te vinden. Veruit de meeste apps zijn geïnstalleerd vanuit Zuidoost-Azië.