2min

Hackers gebruikten jarenlang een backdoor in Google Play-applicaties om gevoelige data te stelen. Dit ontdekten onderzoekers van security-bedrijf Kaspersky.

Het onderzoeksteam van Kaspersky heeft ten minste acht Google Play-apps ontdekt met backdoors die teruggaan tot 2018. Gebaseerd op onder andere archiefonderzoeken denken de onderzoekers dat kwaadaardige apps van dezelfde hackgroep al sinds 2016 in Google Play stonden.

Google verwijderde recente versies van de malware nadat Kaspersky waarschuwde. Applicaties door derden hebben ook de backdoor-apps gehost en deze blijven wel nog beschikbaar.

Google’s veiligheidscontroles

De hackers verantwoordelijk voor de backdoor gebruikten verschillende technieken om de veiligheidscontroles van Google te omzeilen. Een methode was om in eerste instantie een goedaardige versie van een app in te dienen, en de backdoor pas toe te voegen nadat Google de applicatie geaccepteerd had. Bij een andere aanpak waren tijdens de installatie weinig of in sommige gevallen geen rechten vereist, om ze vervolgens later op te vragen met behulp van verborgen code in een executable file. Een van de recentere apps deed zich bijvoorbeeld voor als een browser-opschoner.

Nadat de backdoor geactiveerd was, werd data over het hardware model, de Android-versie en de geïnstalleerde apps geregistreerd. Op basis van die informatie konden de aanvallers de geïnfecteerde applicaties gebruiken om kwaadaardige payloads te downloaden en uit te voeren. Deze payloads verzamelden vervolgens locaties, gesprekslogs, contactpersonen, sms-berichten en andere gevoelige informatie.

OceanLotus

Command-and-control domeinen waren in 2015 al geregistreerd, waardoor de mogelijkheid bestaat dat deze kwaadaardige applicaties ouder zijn dan 2016. Code in de malware en command servers overlapt gedeeltelijk met code van een bekende hackinggroep genaamd OceanLotus. Onderzoekers van Kaspersky vermoeden dus ook dat OceanLotus achter de backdoor zit. De onderzoekers zeggen dat de groep vooral Aziatische regeringen, dissidenten en journalisten aanvalt. Bovendien lijken ze in het bijzonder te focussen op doelwitten die tegen de belangen van Vietnam ingaan. Zo zijn de namen van applicaties en strings in het Vietnamees geschreven.

Vorige maand werden er nog backdoors ontdekt in ruim 12.000 Android-applicaties. Het onderzoeksteam onderzocht de top 100.000 geïnstalleerde Play Store-apps, de top 20.000 applicaties uit app-winkels van derden en meer dan 30.000 apps die vooraf waren geïnstalleerd op Samsung-telefoons.