In wat een grimmige herinnering is om voorzichtig te zijn met wat je installeert, is een nieuwe reeks Android-apps meer dan 300.000 keer gedownload en stelen ze bankrekeninggegevens en maken ze accounts leeg.
Zoals gemeld aan Ars Technica, ontdekte een groep onderzoekers van ThreatFabric de reeks applicaties die bankrekeninggegevens en geld van genoemde accounts stelen.
“Wat deze Google Play-distributiecampagnes erg moeilijk maakt om te detecteren vanuit een automatiserings- (sandbox) en machine learning-perspectief, is dat dropper-apps allemaal een zeer kleine schadelijke voetafdruk hebben”, schreven onderzoekers van mobiel beveiligingsbedrijf ThreatFabric in een blogpost. “Deze kleine footprint is een (direct) gevolg van de toestemmingsbeperkingen die worden opgelegd door Google Play.”
Dat betekent dat de apps beginnen als iets niet-kwaadaardigs. Dit kunnen bijvoorbeeld QR-scanners, PDF-scanners of cryptocurrency-portefeuilles zijn. Na installatie zullen de apps gebruikers vragen updates te downloaden via externe bronnen, wat betekent dat u de updates op uw apparaat sideloadt en zo de bescherming van Google Play omzeilt.
Door op deze manier te werken, worden de apps ook niet gedetecteerd door virusscanners wanneer ze zijn geïnstalleerd, omdat ze volkomen onschadelijk zijn wanneer ze voor het eerst worden gedownload van Google Play. Pas als ze het vertrouwen van de gebruiker hebben gewonnen en ze kunnen overtuigen om de updates van derden te downloaden, doen ze hun werk.
“Deze ongelooflijke aandacht voor het ontwijken van ongewenste aandacht maakt geautomatiseerde malwaredetectie minder betrouwbaar”, aldus de ThreatFabric-post. “Deze overweging wordt bevestigd door de zeer lage algehele VirusTotal-score van het 9 aantal droppers dat we in deze blogpost hebben onderzocht.”
De specifieke malwarefamilie heet Anatsa en het is een Trojaans paard dat zich richt op banken op Android. Het heeft externe toegang en automatische overboekingssystemen die de bankrekening van een gebruiker kunnen leegmaken zodra ze toegang hebben. Het wordt geleverd met de mogelijkheid om wachtwoorden en tweefactorauthenticatiecodes te stelen. Het kan ook toetsaanslagen loggen en screenshots maken.
Dus wat kunt u doen om te voorkomen dat apps door de verdediging van Google glippen? Laad geen updates voor een app die is gedownload op Google Play. Als de app een regelmatige update nodig heeft, zou er geen reden moeten zijn om de update te sideloaden, aangezien Google Play zijn eigen updateproces voor apps heeft. De enige reden waarom een ontwikkelaar u een update zou moeten laten sideloaden, is als het om de een of andere reden probeert de bescherming van Google te omzeilen.
Probeer daarnaast indien mogelijk apps van gerenommeerde bedrijven te downloaden. Je kunt jezelf ook beschermen door apps te verwijderen die je niet meer gebruikt.
