Trend Micro waarschuwt voor malware in Android-appwinkels van derden

Volgens Trend Micro zijn er in de appwinkels van andere partijen dan Google vaker kwaadaardige apps te vinden die root-toegang verkrijgen. Het bedrijf raadt het gebruik van dergelijke appwinkels ondanks mogelijke voordelen dan ook af.

Het beveiligingsbedrijf noemt dat appwinkels van derden vaak populair zijn, omdat er apps te verkrijgen zijn zonder regioblokkade en omdat ontwikkelaars via deze winkels regelmatig kortingen bieden op de verkoopprijs. Toch zouden er ook risico's verbonden zijn aan het downloaden van apps via deze weg. In de Play Store van Google kan de gebruiker er in de meeste gevallen van uitgaan dat de gedownloade software veilig is, maar in appwinkels van derden zou er vaak een minder strikt veiligheidsbeleid heersen.

Specifiek noemt Trend Micro de third-party-stores Aptoide, Mobogenie, mobile9 en 9apps. Volgens Trend Micro doen kwaadaardige apps zich vaak voor als bestaande populaire Google Play-apps, om de kans op een download te vergroten. De meest opmerkelijk variant van een dergelijke app wordt door het bedrijf aangeduid als androidos_libskin.a, waarvan er meer dan duizend in de verschillende third-party-app-stores te vinden zouden zijn. De kwaadaardige app is in staat om na download root-toegang te verkrijgen, waarna de software ongemerkt andere malware binnenhaalt op het apparaat van het slachtoffer. Deze wordt vervolgens aan de gebruiker gepresenteerd als advertenties om de gebruikers over te halen om andere apps te downloaden of kan ingezet worden om gegevens te verzamelen.

De malware maakt voor deze twee functies gebruik van verschillende modules, die stil en automatisch op de achtergrond draaien. De eerste module is daarbij verantwoordelijk voor het verkrijgen van root-toegang via right_core.apk en het binnenhalen van andere malware. De tweede module zorgt voor het weergeven van de advertenties met een bepaalde interval, zodat de gebruiker niet kan vaststellen welk programma hiervoor verantwoordelijk is. Het is overigens niet zomaar mogelijk om apps te installeren uit appwinkels van derde partijen. Op Android-toestellen moet hiervoor een vinkje worden gezet bij 'apps uit onbekende bronnen toestaan'.

infection Verloop van een infectie

IT-banen

Reacties (66)

Brad Pitt 11 februari 2016 11:54

Apps die root toegang willen "vragen" daar toch eerst om. Als deze inderdaad zonder enige user intervention root toegang kunnen verkrijgen is dat best schrikwekkend. Zelf nog nooit meegemaakt i.i.g.

FreshMaker @Brad Pitt • 11 februari 2016 12:02

Ik heb het ook ooit meegemaakt, maar zelfs SU heeft de optie om toegang te vragen 'uit' te zetten.
Dus het zou zomaar kunnen.

* FreshMaker vind alleende bron Trend Micro een beetje twijfelachtig, wij van WC-eend, en zo
Aptoide is sowieso een appstore die niet echt over "legaal" gaat, de andere ken ik niet.

Mijn buitenmarket sources zijn Amazon, Fdroid en apkmirror, daar heb ik iig nooit gedonder gehad of gehoord

Brad Pitt @FreshMaker • 11 februari 2016 12:07

Ik heb het ook ooit meegemaakt, maar zelfs SU heeft de optie om toegang te vragen 'uit' te zetten.
Dus het zou zomaar kunnen.

Als je kan/gaat rooten én je zet zoiets uit én je haalt die pirated apps binnen: no mercy

FreshMaker @Brad Pitt • 11 februari 2016 12:39

Als je kan/gaat rooten én je zet zoiets uit én je haalt die pirated apps binnen: no mercy

Yup !

Zoals al eerder aangegeven hier - You can't cure stupid

Amadeus1966 @FreshMaker • 11 februari 2016 13:40

Helemaal mee eens.
Het zou alleen jammer zijn als betrokkene jou gegevens op zijn toestel heeft staan die ongevraagd door de zelfde stommiteit naar derden worden doorgesluisd.
Tja niet alleen een probleem voor de geïnfecteerde toestel .....maar in het verlengde daarvan dus ook......vul dat zelf maar in.

xFeverr @Brad Pitt • 11 februari 2016 12:00

Ja, als je zelf je root geregeld hebt en een tooltje heb als superuser of supersu.

Als je toestel geen root heeft en een app regelt dat dan even voor zichzelf is dat natuurlijk wel zorgelijker. (immers, heel wat apps kunnen dat ook voor de user doen, dus waarom niet stiekem voor zichzelf)

Brad Pitt @xFeverr • 11 februari 2016 12:02

Als je toestel geen root heeft en een app regelt dat dan even voor zichzelf

Dit is geheel onmogelijk uiteraard.

thisischrys @Brad Pitt • 11 februari 2016 12:36

Ooit van exploits gehoord?
Zou maar een zielig virus zijn als het niet probeerde root te forceren ook al is het er niet.

Brad Pitt @thisischrys • 11 februari 2016 15:09

Hoef ik voortaan niet eerst de bootloader te unlocken en zo, gewoon even een apk'tje draaien en je hebt root, ideaal!

isene @Brad Pitt • 11 februari 2016 12:46

Vorige week heeft een collega dit toch voor elkaar gekregen, door een .apk van internet te downloaden zijn er maarliefst 10 apps geinstalleerd als system....
Dit betekend dat al die apps er ook nog op blijven staan als je je telefoon reset naar fabrieksinstellingen

En ik vond het nogal vreemd dat die apps er niet af wilde gaan. Het betrof een verouderde versie van Android (Samsung) die gevoelig was voor exploits (dezelfde manier als Kingsroot zijn root toegang krijgt) en hierdoor zijn er dus apps met rootrechten als system geinstalleerd.

TL;DR: Het is dus degelijk mogelijk met exploits

frentrop @Brad Pitt • 11 februari 2016 12:57

Daar zijn exploits natuurlijk voor. Bovendien is het meestal niet 1 automagische handeling om root te krijgen bij een ongeroot toestel, maar een goede combi van exploits vinden/gebruiken.
https://en.wikipedia.org/...erabilities_and_Exposures

Bovendien kun je ook de gebruiker inluizen dit te laten doen. Want laten we eerlijk zijn; hoeveel mensen lezen nu echt het pop-upje wat je van Windows krijgt als je een programma wilt installeren? De meesten klikken gewoon direct op YES, install.

M.l. @Brad Pitt • 11 februari 2016 17:45

Nee dat is niet helemaal waar. Een app kan tegen het OS zeggen "Ik wil root-rechten". Als je telefoon ook geroot is kunnen die rechten ook aan de app verleend worden. Pas als de gebruiker een app heeft geinstalleerd die in eerste instantie een blokkade opwerpt en dan aan de gebruiker/eigenaar vraagt of er root verleend mag worden zie je dat. Zolang zo'n dergelijke app niet is geinstalleerd merk je het dus niet.

Nou zullen de meeste jailbreakers dit wel weten maar het probleem is juist dat een aantal- b-merk devices standaard geroot worden geleverd maar zonder de Play Store, maar wel met andere app-winkels. Nietwetende gebruikers kunnen daar zomaar een heleboel mee om zeep helpen (en naar mijn mening grotendeels buiten hun schuld).

Ryan_ 11 februari 2016 10:46

Is eigenlijk wel een beetje oud nieuws toch? Apps downloaden buitenom de Google Play store brengt sowieso risico met zich mee.

Verwijderd @Ryan_ • 11 februari 2016 10:49

Ik gebruik wel eens apps van apkmirror, is die ook niet veilig?

Gohan040 @Verwijderd • 11 februari 2016 11:04

Gebruik ik ook regelmatig, vooral vanwege het eerder app updates online hebben staan dan dat de playstore ze beschikbaar heeft. Dit vanwege het niet altijd gelijktijdig uitrollen van een update. APKMirror is mede opgericht door Artem Russakovskii van Android Police.
Het neemt altijd een risico met zich mee als de APK's geupload worden door gebruikers zelf maar deze worden wel allemaal gecontroleerd schijnbaar.

Safety First

"Of course we're aware of the risks of running a site that provides downloads of user-uploaded content, particularly when that content will be installed on your device. To keep things safe, AP staff checks each APK that's uploaded to make sure it's the real deal. To ensure there's not been any tampering, we even have an automatic signature check that will ensure the app's signature matches with the original. Additionally, the MD5 and SHA1 values are presented to the user explicitly (along with useful compatibility info), just in case a download goes wrong."

Lees anders even deze introductie van APKMirror voor verdere info.
Behalve de Playstore is dit 1 van de weinige sites om APK's te downloaden die ik wel echt vertrouw. Bovendien werkt het erg makkelijk is up-to-date en word goed onderhouden.

frentrop @Verwijderd • 11 februari 2016 12:22

Daar kunnen in principe ook onveilige apps tussen staan. Ze controlleren echter wel of de apk gesigned is door de juiste publisher, en ze geven SHA-1 en MD5 hashes erbij. De eindverantwoordelijkheid ligt echter nog steeds bij de gebruiker.

De site zelf heeft overigens geen certificaat (waardoor dus relatief eenvoudig een man-in-the-middle aanval mogelijk is).

ik heb zelf trouwens nog nooit gehoord dat zoiets is gebeurd, maar dat betekend natuurlijk niet dat het ook nooit is gebeurd

prinsvlad @Verwijderd • 11 februari 2016 10:52

nog nooit sh*t mee gehad

Ceejay @prinsvlad • 11 februari 2016 11:00

...die stil en automatisch op de achtergrond draaien...

oef! @Ryan_ • 11 februari 2016 11:07

Ik gebruik Amazon nog wel eens vanwege hun aanbiedingen (lees gratis). Ik ga er eigenlijk vanuit dat zij wel legit zijn, al zal niemand die garantie geven.

The Zep Man

Netwerk en systeembeheer
Malware

11 februari 2016 11:30

Trend Micro waarschuwt voor malware in Android-appwinkels van derden

Appwinkels van derden... Mijn Android toestel heeft geen Play Services/Store. Als ik de eerste ben, en er zijn appwinkels van derden... Wie is dan de tweede?

FreshMaker @The Zep Man • 11 februari 2016 11:52

Technisch gezien ben JIJ de tweede volgens mij, maar je kan het ook omdraaien uit eigen perspectief, jij eerst, dan de OSaanbieder ( google hier ) als 2e

eerste is playstore, die is er dus niet
Dan jij ( eigen werk

)
Dan 3th party, amazon e.d

[Reactie gewijzigd door FreshMaker op 23 juli 2024 15:07]

WALUIGI96 @FreshMaker • 11 februari 2016 11:56

Was de tweede partij niet de bedrijven die bij de eerste partij zijn aangesloten? In het geval van Google is dat er niet

FreshMaker @WALUIGI96 • 11 februari 2016 11:59

Dat zou zomaar kunnen, in de loop van de jaren is dat regelmatig verschoven

"vroegah" werd third party gezien als 'non licenced' ( de spreekwoordelijke telefoonboer op de hoek die jouw reparatie goedkoper kan doen )

xxxneoxxx @FreshMaker • 11 februari 2016 16:32

Kan ook best de telefoonleverancier zijn.. Met eigen apps en "store". Overigens: https://en.m.wikipedia.org/wiki/Colin_Firth ?

FreshMaker @xxxneoxxx • 12 februari 2016 05:01

Ik vat de link niet helemaal

xxxneoxxx @FreshMaker • 12 februari 2016 08:41

3th vs 3rd.

FreshMaker @xxxneoxxx • 12 februari 2016 12:20

ahh, succes dan met je kruistocht

https://goo.gl/WbzBmQ

xxxneoxxx @FreshMaker • 12 februari 2016 14:11

We gaan erg offtopic, maar de uitspraak "third" verraad het al een beetje.. Niet als in Colin dus.

Verwijderd 11 februari 2016 11:11

Sinds ik weer android gebruik installeer ik sowieso geen rare apps en al helemaal geen andere app winkels. alles staat toch in de play store?

RebelwaClue @Verwijderd • 11 februari 2016 11:46

Op een paar apps na (zoals popcorn en showtime) staat alles wel in de Playstore ja.

FreshMaker @RebelwaClue • 11 februari 2016 11:51

Op een paar apps na (zoals popcorn en showtime) staat alles wel in de Playstore ja.

Daar noem je er een paar op ook.
Vrij logisch dat DIE juist niet in de officiele playstore staan.

Zou je nu adaway noemen, dan kun je een echte discussie aangaan over legaliteit.

Maar apps die PUUR zijn om streaming media te gebruiken, nee...

Verwijderd @RebelwaClue • 11 februari 2016 12:01

dat soort apps wil ik sowieso niet

daellat @Verwijderd • 11 februari 2016 12:13

De enige niet-store app die ik gebruik is chanu, voor mij de enige fijne manier om 4chan te browsen op mobiel.

RebelwaClue @Verwijderd • 11 februari 2016 13:09

Ik heb ze zelf er ook niet opstaan, doe alles via Kodi. Ik installeer vooral van APK mirror omdat ik niet altijd wil wachten tot de update beschikbaar is in de Playstore. Verder gebruik ik geen derde partijen.

geonosys 11 februari 2016 11:30

Tsja, als mensen de kennis hebben om apps uit andere bronnen te kunnen verkrijgen zou je er ook vanuit mogen gaan dat ze paranoïde genoeg zijn om de nodige voorzichtigheid in acht te nemen....

RoestVrijStaal 11 februari 2016 11:46

Leuk dat Trend Micro met modder gooit, maar heeft het ook een tool om je phone te checken en te desinfecteren?

Anderzijds, het zou makers van apps sieren om ook een apk in eigen beheer uit te brengen (zoals WhatsApp dat doet). Dan zijn de mensen die Google Apps niet op hun phone willen ook blij.

Mrjraider 11 februari 2016 12:20

De bewering omtrent root toegang verkrijgen vind ik discutabel. Heel veel ontwikkelaars op XDA developers werken zich uit de naad om root toegang te verkrijgen. Denk hierbij aan het unlocken van de bootloader, het installeren van een customrecovery etcetera. Dit neemt maanden in beslag omdat ook google (en de fabrikanten) de gebruikte exploits dichten. Hoe kan dan een applicatie die je als user applicatie installeert dan wel zonder problemen root toegang verkrijgen? Is Android dan echt zo lek als een zeef?

frentrop @Mrjraider • 11 februari 2016 12:40

Bij veel hacks zal dit ook niet in 1x gaan, maar exploit na exploit gebruiken om zich zo op te werken tot root toegang.
Bovendien is het grote probleem van Android in dit geval dat er enorm veel toestellen op ernstig verouderde versies draaien. Als je de laatste security patch versie hebt is het vrijwel onmogelijk, maar op het moment dat je Android 4.0 ofzo hebt ben je kwetsbaarder. (Zie hier adoption rate van Android versies http://developer.android.com/about/dashboards/index.html)
Als fabrikanten geen updates uitbrengen is het niet gek dat dit mogelijk is. Als er exploit gevonden worden patched Google het (tot een versie deprecated is), maar als die updates nooit uitgerold worden door fabrikanten...

Mrjraider @frentrop • 11 februari 2016 12:43

Ben ik met je eens. Ik had ook voornamelijk het oog op de recente toestellen met dus de laatste updates en patches etc.
Wellicht wordt het eens tijd voor Google om eens wat meer om de veiligheid van hun OS te gaan kijken. Dat laat nogal de wensen over....

frentrop @Mrjraider • 11 februari 2016 12:51

Daar zijn ze ook mee bezig. Qua security is Android zelf erg verbeterd 'under the hood' (o.a. te merken aan hoe lang het tegenwoordig kan duren voor er een goeie rootmethode is gevonden voor nieuwe Android versies).
Bovendien scant Google tegenwoordig apps op je telefoon voor ongewenst gedrag. Ook hebben ze afgedwongen bij fabrikanten dat ze toestellen langer moeten updaten, en bij zoveel mogelijk (waarschijnlijk in de praktijk alleen flagships) maandelijkse security patches krijgen.

Mrjraider @frentrop • 11 februari 2016 12:53

Dat dwingen werpt nog niet echt zijn vruchten af, mijn net twee jaar oude Xperia SP ontvangt niets meer

frentrop @Mrjraider • 11 februari 2016 13:04

Google probeert het al lange tijd, maar fabrikanten vinden het maar vervelend; Waarom (veel) tijd steken in updaten van oude toestellen (waar fabrikanten vaak veel aan het OS zelf aanpassen, dus enorm veel meer gedoe dan simpel mergen met update) als ze er niks meer aan verdienen. Ze hebben liever dat consumenten gewoon een nieuw toestel kopen. Vaak hebben ze trouwens ook veel toestellen, waardoor ze dus veel hardware specific moeten doen.
Pas sinds Stagefright (https://en.wikipedia.org/wiki/Stagefright_(bug)) is het Google een beetje gelukt om dit te forceren. Oude toestellen hebben hier idd niks aan. Echter heb je daarvoor natuurlijk oplossingen als je een beetje handig bent: http://download.cyanogenmod.org/?device=huashan

Mrjraider @frentrop • 11 februari 2016 13:08

Handig ben ik zeker, mijn Xperia werd twee uur na aankoop geroot en voorzien van de nodige aanpassingen

nu is het echter een toestel van mijn broertje en die ga ik niet belasten met dit. Die snapt er toch niets van

FreshMaker @Mrjraider • 11 februari 2016 12:43

Nee, het is een onderzoek van een bedrijf wat 'veiligheid' wil verkopen

Gebruikers die dit soort appstores opzoeken, hebben vaak al wel de mogelijkheid gebruikt om te rooten, en de bewuste binaries zijn al aanwezig.
De malwareapps gebruiken die gewoon ( en dus op een kennelijk onzichtbare manier ) om hun rommel te doen.

Trend Micro heeft er belang bij dat men angstig is, en hun product aanschaft, niet dat je de betreffende store's gaat mijden

Mrjraider @FreshMaker • 11 februari 2016 12:52

Niet waar, ik heb mijn toestel niet geroot maar download met regelmaat applicaties vanuit "onbekende bronnen". Je bewering is een beetje scheef in dat opzicht. Wat betreft de verkoop van beveiliging. Ik trap daar nooit in en koop daarom ook geen AV pakket voor PC, tablet of telefoon. Die onzin...

FreshMaker @Mrjraider • 11 februari 2016 13:00

Niet waar, ik heb mijn toestel niet geroot maar download met regelmaat applicaties vanuit "onbekende bronnen". Je bewering is een beetje scheef in dat opzicht. Wat betreft de verkoop van beveiliging. Ik trap daar nooit in en koop daarom ook een AV pakket voor PC, tablet of telefoon. Die onzin...

Nu ben je me kwijt ....
Je trapt er niet in, maar koopt wel een pakket voor beveiliging ?
< vermoeden had ik al - geen - >

Ik heb nog nooit een AV op mijn telefoon gebruikt, heb WEL root, EN installeer uit onbekende bronnen.
Alleen ben ik ( net als jij, denk ik ) wel kieskeurig uit WELKE bronnen.
onbekend slaat voor android alleen maar op "niet de eigen store" dus dekt de lading niet.
Amazon is voor google/android ook een onbekende bron, maar met een even 'goede' reputatie als de play-store, en dus gewoon veilig te noemen.

Aptoide daarintegen .... buiten onbekend, ook onveilig, omdat iedereen zijn eigen "store" kan maken, zonder dat er controle is op het pakket wat er aangeboden word.
een payload is dan zo meegegeven, virus included.

Dus een 'beveiligingsbedrijf' kan wel roepen dan externe stores onveilig zijn, maar ze vertellen er niet bij dat het onderzoek voornamelijk gaat over de "minder nette" omgevingen.
Amazon en apkmirror worden wijselijk buiten het onderzoek gehouden, ik vraag me af waarom ...

[Reactie gewijzigd door FreshMaker op 23 juli 2024 15:07]

Mrjraider @FreshMaker • 11 februari 2016 13:01

Ik heb hem iets gewijzigd. Toetsenbord van de ipad werkte niet mee

Edit: die een was geen

Edit 2:
Ik bekijk inderdaad waar ik mijn applicaties vandaan haal.

[Reactie gewijzigd door Mrjraider op 23 juli 2024 15:07]

FreshMaker @Mrjraider • 11 februari 2016 13:06

edit - eerlijkheidshalve, mijn post ook aangepast

supersnathan94 @Mrjraider • 11 februari 2016 13:08

Mja het is ook wel een beetje een wij van WC-eend verhaal (wat overigens een donders goede reclame is zoals blijkt

).

Het ount is alleen dat als je dus niet gebruik maakt van AV dat je dan zelf moet opassen. Dergelijk statements als die van Trend-Micro zijn daarin wel degelijk belangrijk en handig.

Tuurlijk weet je dat je moet opassen met installeren van apps, maar nu weet je ook waarom en waar je op moet letten.

sumac 11 februari 2016 12:43

Ik heb een tijd F-Droid gebruikt. Ik gebruik Tasks, de voormalige Astrid takenmanager, en die kun je in beide stores downloaden. Maar die gingen elkaar dus in de weg zitten. Niet dat ik Tasks twee keer geinstalleerd had, maar beide probeerden 'm te updaten, en dat gaat niet goed.

Daarbij had ik bij F-Droid last van gewijzigde keys, waardoor je een app moest verwijderen om te kunnen upgraden, en daarbij verlies je al je data, dus moet je weer een back up maken. Veel gedoe, en weinig winst, dus ik gebruik het niet meer.

[Reactie gewijzigd door sumac op 23 juli 2024 15:07]

FreshMaker @sumac • 11 februari 2016 13:03

Datzelfde gebeurt met populaire games en Amazon.
Ik heb betaalde versies van Angrybirds, via Amazon giveaways.
Maar de playstore update die ook elke keer, maar omdat de signature niet klopte, werd het een free version met reclame....

Pas sinds een paar versies kun je in playstore aangeven dat er geen updates moesten komen voor bepaalde apps, sindsdien gaat het beter

PPie 11 februari 2016 13:41

omdat er apps te verkrijgen zijn zonder regioblokkade

Zijn deze dan legaal? Want zo'n regioblokkade is er toch niet voor niets?
Waarom zou een ontwikkelaar dezelfde app nogmaals aanbieden op een andere store?
(Niet dat ik het met zo'n blokkade eens ben).

[q/] en omdat ontwikkelaars via deze winkels regelmatig kortingen bieden op de verkoopprijs[/q]
Waarom? Kunnen ze dat niet via de Play Store van Google?
Of zijn het illegaal aangeboden kopieen van apps die niet door de originele ontwikkelaar maar door iemand anders op die ander stores worden aangeboden?

blaatenator 12 februari 2016 17:02

Tavis Ormandy heeft vrij duidelijk gemaakt dat software van Trend Micro vooral niet gebruikt moet worden. Neem hun pers berichten dan ook met een flinke korrel zout:
https://code.google.com/p...arch/issues/detail?id=693 en de write-up: http://arstechnica.com/se...-for-critical-av-defects/

Wat een stel prutsers...

Op dit item kan niet meer gereageerd worden.

Trend Micro waarschuwt voor malware in Android-appwinkels van derden

Lees meer

IT-banen

Reacties (66)

Sorteer op:

Weergave: