Malware vermomd als antivirusbescherming

Een nep-app van Kaspersky Internet Security for Android onderstreept het gevaar van het installeren van apps buiten de officiële app stores om.

In bijna elke post over Android raden we aan om alleen apps via officiële bronnen te installeren, en dat advies zal ook niet snel veranderen. Een recent voorbeeld laat goed zien waarom: Scammers verspreidden een banking trojan vermomd als populaire mediaplayers, een fitness-app, een reader voor boeken en eentje die wel erg dichtbij kwam: Kaspersky Internet Security for Android.

Waarom het gevaarlijk is om applicaties van alternatieve bronnen te installeren

Er is niet per se iets mis met app-marktplaatsen van derden, maar niemand kan met zekerheid stellen of zo’n app store betrouwbaar is. In een officiële Android-app store, of het nu Google Play of Huawei AppGallery is, screenen medewerkers van de respectievelijke eigenaars elke applicatie die door ontwikkelaars wordt ingediend, waarbij elke applicatie die duidelijk schadelijk is wordt verwijderd. Dit zijn grote bedrijven die hun reputatie en de veiligheid van hun klanten beschermen, en ze beschikken over zowel de middelen als de motivatie om ervoor te zorgen dat hun gebruikers gevrijwaard blijven van malware.

Soms komt er echter toch malware door, zelfs op Google Play, hoewel de kans dat u die daar tegenkomt veel kleiner is dan op message boards, torrent trackers of sommige andere sites. Trotse kleine, onafhankelijke marktplaatsen hebben de neiging niet veel controles uit te voeren, meestal omdat het hen aan de middelen ontbreekt, en als gevolg daarvan kunnen de apps die ze hosten van alles zijn, zelfs een trojan.

We moeten hier wel bij vermelden dat het downloaden van malware op een Android-apparaat normaal gesproken niet genoeg is om het toestel ook te infecteren. Tenzij de malware op een soort zero-day uber-exploit vertrouwt om supergebruiker-machtigingen te verkrijgen, vergt het installeren van een gevaarlijke app op Android nog wat moeite. Het besturingssysteem ondervraagt de gebruiker bij elke stap: of hij de app echt wil installeren, of hij ermee instemt de gevraagde machtigingen te verlenen, enzovoort. Cybercriminelen zetten social engineering in om mensen te overtuigen deze vragen met ja te beantwoorden, vaak met succes.

Schadelijke beveiliging van een alternatieve marktplaats

Er volgt een voorbeeld: Nog niet zo lang geleden was er een groep onderzoekers die melding maakte van Android-applicaties die via verschillende nepsites werden verspreid. Deze apps omvatten ook een nepversie van Kaspersky Internet Security for Android.

De oplichters verspreidden hun nep-app onder de naam “Kaspersky Free Antivirus” (wij boden vroeger een product met die naam aan, maar dat was voor Windows). Op Google Play heet onze mobiele antivirus-app momenteel Kaspersky Mobile Antivirus: Applock & Web Security.

Ironisch genoeg ontvingen gebruikers die de nep-antivirus-app downloadden een banking trojan die bekend staat als TeaBot en die onze beveiligingsproducten detecteren als HEUR: Trojan-Banker.AndroidOS.Teaban of HEUR: Trojan-Banker.AndroidOS.Regon.

Waarom is dit vooral problematisch in het geval van antivirus-apps? Dat komt omdat de gebruiker niet alleen een vermomde banking trojan downloadt en installeert, maar ook nog een instemt met alle verzoeken tot machtigingen. Een echte antivirus-app heeft immers tal van machtigingen nodig, inclusief zeer krachtige toegangsrechten, zoalsToegankelijkheidsdiensten.

En het wordt nog erger, want in de afwezigheid van daadwerkelijke antivirusbescherming, kan het apparaat deze malware dus niet detecteren.

Het voltooien van de installatie en het verlenen van alle gevraagde machtigingen geeft de TeaBot Trojan de mogelijkheid om bijna alles te doen op het Android-toestel. De mogelijkheden zijn talrijk: van keylogging, het stelen van Google Authenticator-codes en het misbruiken van Toegankelijkheid op andere manieren tot het verkrijgen van volledige controle op afstand over het Android-apparaat.

Hoe u zich ervan verzekert dat een app legitiem is

Antivirus is niet de enige vermomming van TeaBot. De malware is ook beschikbaar als nepversies van een aantal bekende overheids-, financiële, fitness- en lees-apps. Schakel om veilig te blijven de mogelijkheid van uw smartphone om applicaties van onbekende bronnen te installeren helemaal uit, want dit kan met Android. En als u een bepaalde app nodig hebt, zoek deze dan op een officiële marktplaats.

Wees ook op voorzichtig met de machtigingen die u aan applicaties verleent. Als een fitness-app bijvoorbeeld onverwacht om toegang tot Toegankelijkheid vraagt, denk hier dan twee keer (of vaker) over na voordat u tot actie overgaat.

Zorg er ten slotte ook voor dat u echte antivirusbescherming gebruikt. Met een volledig gratis editie van Kaspersky Internet Security for Android beschikbaar, is er geen reden om deze via onofficiële bronnen te downloaden. U vindt onze antivirus-app zowel op Google Play als in de Huawei App Gallery.

Tips