Google verwijdert geavanceerde spyware uit Google Play

Google meldt in Google Play een reeks applicaties te hebben verwijderd die spyware bevat. De spyware heeft de naam Lipizzan gekregen.

Google meldt eerder onderzoek te hebben gedaan naar de Chrysaor spyware, waarvan Google vermoedt dat deze is ontwikkeld door NSO Group. Dit Israëlisch bedrijf levert cyberwapens aan overheidsinstellingen. Tijdens verder onderzoek naar deze spyware kwam Google Lipizzan op het spoor. Google vermoedt dat deze spyware is ontwikkeld door een andere leverancier van cyberwapens: Equus Technologies.

Twintig malafide apps

Lipizzan werd gespreid via een twintigtal malafide applicaties die werden aangeboden in Google Play. Deze apps worden aangeboden onder onschuldige namen zoals ‘Backup’ of ‘Cleaner’, maar zijn in werkelijkheid in staat gebruikers die de apps installeren te bespioneren.

Google noemt dat Lipizzan een geavanceerde spyware tool. Zodra een malafide app wordt gedownload onderzoekt deze allereerst het apparaat van het slachtoffer. Indien dit apparaat aan bepaalde voorwaarden voldoet, wordt het apparaat geroot met behulp van bekende exploits en gaat de spyware aan het werk. Hierbij wordt data doorgestuurd naar een Command & Control server die onder beheer staat van de makers.

E-mailverkeer, SMS-berichten en spraakgesprekken

Lipizzan richt zich onder meer op het stelen van e-mailverkeer, SMS-berichten en de locatie van gebruikers. Daarnaast kunnen de aanvallers spraakgesprekken afluisteren en media op het besmette apparaat inzien. Google stelt dat minder dan 100 apparaten met de spyware zijn besmet. Op deze apparaten is via Google Play Protect een notificatie getoond. Daarnaast heeft deze functie de malafide apps verwijderd van getroffen apparaten. De apps en betrokken ontwikkelaars zijn verwijderd uit Google Play