2min

Google heeft 145 apps uit de Play Store verwijderd nadat onderzoekers van Palo Alto Networks op het kwaadaardige karakter wezen. De apps bevatten ingesloten bestanden die uitsluitend op Windows-devices kunnen draaien, waardoor ze geen bedreiging voor Android-apparaten vormen.

Hoewel de infectie alleen op Windows werkt, spreekt Palo Alto Networks over een bedreiging voor de software supply chain. De onderzoekers denken namelijk dat de makers van de apps verschillende ontwikkelomgevingen voor de apps gebruikten. Vermoedelijk is de malware dan ook aanwezig vanwege het bouwen van de apps op gecompromitteerde Windows-systemen.

Bevat keylogger

De kwaadaardige apps verschenen in oktober 2017 en november 2017 in Google Play. Van de geïnfecteerde apps waren sommige 1000 keer of meer geïnstalleerd, met daarbij een waardering van vier sterren. Onder andere ‘Learn to Draw Clothing’, ‘Gymnastics Training Tutorial’ en ‘Modification Trail’ zijn besmet.

De onderzoekers ontdekten dat de Android Package Kit (APK)-bestanden, een bestandsformaat voor applicaties die draaien op Android, mogelijk meerdere malafide portable executable (PE)-bestanden bevatten. Een van deze PE-files was een keylogger om toetsaanslagen vat te leggen. Hiermee kunnen kwaadwillenden gevoelige informatie zoals creditcardgegevens bemachtigen. Deze keyloger was in de meeste apps te vinden. Een ander PE-bestand bevatte code om bestanden in Windows-mappen te verbergen, om uiteindelijk verbinding te maken met verdacht IP-adressen.

Het is echter onwaarschijnlijk dat de gemiddelde gebruiker getroffen is door de kwaadaardige apps. Om kans van slagen te hebben dienen de APK-bestanden uitgepakt en uitgevoerd te worden op een Windows-systeem. Toch is een besmetting een te groot risico. Daarom lichtte Palo Alto Networks Google in over de geïnfecteerde apps. Ze werden al snel uit de Play Store gehaald.