Securitybedrijf Zscaler vond drie bekende malwarevarianten in tientallen Google Play Store apps. De apps hebben gezamenlijk meer dan 300.000 downloads.

De meeste gebruikers wanen zich veilig op de Google Play Store. In werkelijkheid misbruiken cybercriminelen het platform om malware te verspreiden. Onderzoekers van Zscaler vonden in de afgelopen tijd drie bekende malwarevarianten in Google Play Store apps.

Joker, Facestealer en Coper

Joker is een van de meest voorkomende malwareprogramma’s voor Android. De malware sluit stilletjes abonnementen af op een geïnfecteerd apparaat. Slachtoffers betalen torenhoge kosten voor ongewenste diensten. Zscaler vond Joker in meer dan 50 Google Play Store apps. De apps hebben gezamenlijk 300.000 downloads op de teller.

Ook Facestealer loopt regelmatig tegen de lamp. Na een infectie opent de malware een nagemaakte Facebook-inlogpagina. De malware steelt de inloggegevens die slachtoffers invoeren. Zscaler vond Facestealer in ‘Vanilla Camera’, een camera-app met 5.000 downloads.

De derde en laatste variant is Coper. De malware steelt de bankgegevens van slachtoffers door te keyloggen en SMS-berichten te lezen. Zscaler vond Coper in ‘Unicc QR Scanner’, een app met het uiterlijk van een legitieme QR-scanner.

Facestealer.

De rol van Google

Google hoort malware te weigeren. De techgigant werkt met een automatisch toelatingsproces om kwaadaardige apps te herkennen. De apps met Joker, Facestealer en Coper gebruiken legitieme functies om het toelatingsproces te omzeilen.

Google is op de hoogte van het probleem. De techgigant scherpt de toelatingsregels vanaf 1 november 2022 aan. Hoewel we verwachten dat het nieuwe systeem meer malware herkent, vinden cybercriminelen ongetwijfeld omwegen. Securityonderzoek blijft noodzakelijk. Zscaler informeerde Google over de gevonden apps. De apps zijn inmiddels verwijderd.

Voorkomen

Zscaler adviseert eindgebruikers om uitsluitend apps te downloaden met hoge gebruikersaantallen, positieve recensies en erkende ontwikkelaars. Daarnaast adviseert het securitybedrijf om geen toegankelijkheidsrechten (Accessibility) te verlenen aan onbekende apps. Vaak maken malware apps misbruik van toegankelijkheidsrechten om geïnfecteerde apparaten te bedienen.

Tot slot waarschuwt Zscaler voor messaging apps. Sommige messaging apps gebruiken Read_SMS-toestemming om inkomende berichten te lezen. De toestemming stelt een cybercrimineel in staat om tweestapsverificatie-codes te onderscheppen op een geïnfecteerd apparaat.

Tip: Apps voor het tracken van kinderen zijn zo lek als een mandje