Beveiligingsonderzoekers van Avast hebben vijftig malafide apps gevonden die voorbij de beveiligingscontroles van Google wisten te komen, en in de Google Play Store zijn beland. De apps zijn miljoenen keren geïnstalleerd op Android-apparaten.
De apps zijn gerelateerd aan lifestyle-diensten, schrijft ZDNet. Ze doen zich voor als legitieme software, maar zijn eigenlijk adware. De malafide apps zijn in totaal 30 miljoen keer gedownload. De apps zijn aan elkaar gelinkt via libraries van derde partijen, die de “restricties voor achtergronddiensten in nieuwere Android-versies omzeilen”.
“Hoewel het omzeilen zelf niet expliciet verboden is in de Play Store, detecteert Avast het als problematisch, omdat de apps die deze libraries gebruiken de batterij van de gebruiker verspillen en het apparaat langzamer maken”, aldus de onderzoekers. “De applicaties gebruiken de libraries om constant steeds meer advertenties aan de gebruikers te tonen, wat tegen de Play Store-regels ingaat.”
Iedere app toont advertenties op volledige grootte aan de gebruikers. In sommige gevallen proberen ze gebruikers zo ver te krijgen om extra applicaties met adware te installeren. De vijftig gevonden malafide apps zijn onder meer Pro Piczoo, Photo Bur Studio, Mov-tracker, Magic Cut Out en Pro Photo Eraser.
Twee versies
Avast heeft twee versies van de app-malware gevonden op het platform. Die malware heet TsSdk. De oudere versie van de twee is 3,6 miljoen keer geïnstalleerd en zat verborgen in apps die eenvoudige spelletjes, het aanpassen van foto’s en fitness-systemen aanbieden.
Als de apps geïnstalleerd werden, leken ze legitiem. Ze zouden echter ook een aantal shortcuts afleveren naar ongewenste pagina’s of diensten op het thuisscherm van het Android-apparaat. Een aantal apps waren ook in staat om een shortcut toe te voegen naar een “Game Center”, die een pagina opent met advertenties voor andere gaming-software.
Nieuwere versies van TsSdk werden gevonden in muziek- en fitness-apps, en werden bijna 28 miljoen keer geïnstalleerd. De code is bijgewerkt en versleuteld. De malware gaat alleen aan de slag als een slachtoffer eerst op een Facebook-advertentie klikt. Een functie in de Facebook SDK genaamd “deferred deep linking” staat het toe dat deze apps dergelijke activiteit detecteren. Nadat er op een advertentie is geklikt, worden de eerste uren alleen extra advertenties getoond. Daarna wordt dat minder frequent en willekeuriger.
Avast heeft Google gevraagd om de apps te verwijderen uit de Google Play Store.
9 uur geleden
