22 veel gedownloade Android-apps bevatten een malafide achterdeur

Onderzoekers van Sophos hebben 22 apps gevonden met ruim 2 miljoen downloads in de Google Play Store die een achterdeurtje bevatten. Het achterdeurtje liet aanvallers vanaf een eigen server bestanden downloaden naar de telefoon. Dat meldt Ars Technica.

Het gaat onder meer om Sparkle Flashlight. Dat is een zaklamp-app met ruim een miljoen downloads die sinds 2016 of 2017 in de Play Store stond. Ergens rond maart dit jaar werden deze en twee andere geüpdatet om de geheime downloader toe te voegen. De andere apps waren na juni beschikbaar en bevatten de downloader vanaf het begin.

De apps werden eind november uit de Play Store verwijderd. Tegen die tijd werden ze gebruikt om eindeloos op frauduleuze advertenties te klikken. Sophos noemt de familie aan apps nu Andr/Clickr-ad. De apps starten automatisch en bleven draaien nadat de gebruiker ze gedwongen had gestopt. Die functies zorgden ervoor dat er grote hoeveelheden bandbreedte werd gebruikt en accu’s sneller leeg raakten.

“De app genereert frauduleuze verzoeken die advertentienetwerken significante omzet kosten als gevolg van de neppe kliks”, aldus de onderzoekers. Bovendien worden de apparaten volledig beheerd door de C2-server en is het mogelijk om malafide modules te installeren als de server daar instructies voor geeft.

Werking

De apps werkten door te rapporteren aan een domein in handen van een aanvaller: mobbt.com. De geïnfecteerde telefoons downloadden daar modules voor advertentiefraude en ontvingen iedere 80 seconden specifieke commando’s. De modules zorgden ervoor dat de telefoons klikten op een groot aantal links waar frauduleuze apps werden gehost. Om te voorkomen dat gebruikers het vermoeden kregen dat hun telefoons geïnfecteerd raakten, werden de advertenties getoond in een venster dat 0 pixels hoog was en 0 pixels breed.

Om adverteerders het idee te geven dat de kliks van een groot aantal echte gebruikers kwam, manipuleerde Andr/Clickr-ad user-agent strings om zich voor te doen als een groot aantal verschillende apps die draaien op veel verschillende telefoons, waaronder iPhones. Veel van de malafide apps werden gemaakt door ontwikkelaars die ook titels hadden in de iOS App Store. Sophos zag dat het leek alsof de kliks kwamen van iPhones 5 tot 8 Plus en van 249 verschillende modellen van 33 fabrikanten van Android-telefoons.

Dit had diverse doelen. Zo is het mogelijk dat de iPhone-labels ervoor zorgden dat de scammers meer geld zouden verdienen, aangezien sommige adverteerders meer betalen als hun advertenties gezien worden door iPhone-gebruikers. Daarnaast gaven de valse labels de indruk dat er door een veel groter aantal apparaten op de advertenties werd geklikt.

Automatisch aan

Andr/Clickr-ad-apps werden zo geprogrammeerd dat ze automatisch gingen draaien als een geïnfecteerde telefoon opnieuw was opgestart. Sloot een gebruiker een app af met force close, dan werd de app drie minuten later weer opgestart door een ingebouwde sync adapter. De apps checkten iedere 80 seconden voor nieuwe advertentie-commando’s, en controleerden iedere 10 minuten op nieuwe module-downloads.