2min

Tags in dit artikel

, , ,

Op meer dan 7,4 miljoen Android-apparaten is vooraf geïnstalleerde malware gevonden. De malware was in staat om apparaten over te nemen, apps op de achtergrond te downloaden en advertentiefraude te plegen.

De vondst werd gedaan door onderzoekers van Google zelf. De malware is op apparaten terecht gekomen via de fabrikanten van de telefoons.

Het gaat dan met name om makers van budget-telefoons, die software van derde partijen gebruiken om geld te besparen. Aanvallers bieden echte diensten aan, en stoppen er vervolgens malware in. Dat vertelt beveiligingsonderzoeker Maddie Stone van Project Zero van Google aan CNet.

Miljoenen apparaten getroffen

De problemen met vooraf geïnstalleerde malware zijn niet nieuw. In de afgelopen drie jaar vonden beveiligingsonderzoekers van Android al twee grote malware-campagnes in vooraf geïnstalleerde apps. Het ging om Chamois en Triada, die samen tientallen miljoenen goedkope Android-apparaten infecteerden.

Stone heeft nu drie nieuwe onderzoeken bekendgemaakt. De malware hierbij troffen miljoenen apparaten en zetten Google Play Protect uit. Ook werden activiteiten van gebruikers op internet bespioneerd en konden hackers mogelijk op afstand code draaien op het apparaat.

Google heeft niet bekendgemaakt om welke apparaten het gaat. Ook is niet duidelijk of de makers van de apps ook kwaadaardige bedoelingen hadden.

Per ongeluk

Volgens Stone waren er twee zaken waarbij de vooraf geïnstalleerde malware niet als malware bedoeld was. De fouten waren per ongeluk in de diensten verschenen, maar zorgden wel voor beveiligingsrisico’s voor miljoenen mensen.

Maar liefst 225 fabrikanten van apparaten hadden apps op hun apparaten gezet met code waarmee remote code execution mogelijk werd. De apps openden een scherm waarmee iedereen die online is zich kan verbinden. Zodra er een verbinding werd opgezet, had die persoon de volledige controle. Volgens Stone trof dit probleem 6 miljoen apparaten, maar werd het binnen een maand opgelost.

Ook multinational Honeywell had kwetsbaarheden geïnstalleerd op Android-apparaten die zijn industriële controlesystemen beheerde. De apps op de Android-apparaten hadden uitgebreide privileges, waardoor een aanvaller wachtwoorden en documenten kon stelen. De fout werd afgelopen september bekendgemaakt.

Virusscanners pikken het niet op

Vooraf geïnstalleerde malware is goedgekeurd door de fabrikanten van telefoons, wat een probleem vormt. Virusscanners zien de app daardoor namelijk niet als kwaadaardig, ook niet als een app zich gedraagt als malware.

Bovendien hebben de apps vaak meer machtigingen om taken uit te voeren dan malware die door gebruikers gedownload wordt, en kunnen niet verwijderd worden tenzij de fabrikant een beveiligingsupdate verstuurt. Google Play Protect kan de malafide app wel uitschakelen, maar niet verwijderen.