×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers vinden kwaadaardige advertentie-sdk in 500 Play Store-apps

Door , 98 reacties, submitter: ongekend41

Onderzoekers van beveiligingsbedrijf Lookout hebben een kwaadaardige advertentie-sdk ontdekt in 500 Android-apps in de Play Store. Door de legitieme apps te gebruiken om kwaadaardige plug-ins binnen te halen, konden ze gebruikersdata verkrijgen, in dit geval oproepgegevens.

Volgens Lookout draagt de sdk de naam Igexin. Deze is bedoeld voor appbouwers om advertenties aan gebruikers te leveren, aldus het bedrijf. De onderzoekers kwamen erachter dat de sdk in staat is om kwaadaardige plug-ins binnen te halen, maar dat dit niet in alle gevallen is gebeurd. Het bedrijf stelt dat de apps die de sdk aan boord hadden, in totaal honderd miljoen keer zijn gedownload. Google heeft de getroffen exemplaren inmiddels uit de Play Store verwijderd.

De Lookout-onderzoekers ontdekten de apps tijdens een routineonderzoek van applicaties die communiceren met ip's waarvan bekend is dat ze malware verspreiden. Ze zagen dat een app grote versleutelde bestanden binnenhaalde, wat vaak het teken is dat een legitieme app naderhand kwaadaardige code binnenhaalt om zo detectie te voorkomen. Daarna voerden ze een analyse uit.

De apps communiceerden met een rest-api, die de opdracht kon geven om versleutelde jar-bestanden uit te voeren. Lookout schrijft dat de ontwikkelaars en gebruikers geen controle hebben over wat de app uitvoert als er eenmaal een api-call is uitgevoerd. De enige beperking zou het permissiesysteem van Android zelf zijn. De meest vergaande activiteit die de onderzoekers vaststelden, was het stelen van de oproepgeschiedenis van een apparaat, inclusief telefoonnummers en tijdstippen van oproepen.

Die gegevens worden vervolgens regelmatig via een http-verzoek naar het api-endpoint gestuurd. Het bedrijf stelt dat de ontwikkelaars van de apps misschien zelf niet doorhadden dat hun app tot kwaadaardige acties in staat was. Lookout publiceert geen namen van de getroffen apps, maar schrijft bijvoorbeeld dat het gaat om een app voor jongeren met vijftig tot honderd miljoen downloads en een weer-app met maximaal vijf miljoen downloads.

Het is niet de eerste keer dat schijnbaar legitieme toepassingen gebruikersgegevens doorsturen. Vorig jaar gebeurde dat met de Chinese Adups-software op telefoons van onder meer fabrikant Blu.

Door Sander van Voorst

Nieuwsredacteur

23-08-2017 • 12:09

98 Linkedin Google+

Submitter: ongekend41

Reacties (98)

Wijzig sortering
Maar ik kan nu dus niet weten of dit op mijn telefoon gebeurt is? Want ze maken niet bekend welke apps. Of krijg ik van Google een melding als ik een app gebruik welke uit de playstore verwijderd wordt?
Het verbaast mij ook keer op keer dat er heel hard geroepen wordt dat dat er een x-aantal apps besmet zijn. Maar vervolgens ontbreekt aan alle kanten informatie over welke apps het dan zijn.
Ik had dit, valt je echt wel op. Op random momenten springt er ineens een reclame open (meestal tegelijk met het openen van een app), soms komt er ook ineens de melding dat iets geopend wil worden.

Meteen telefoon een factory reset gegeven, kon zo geen app vinden welke het veroorzaakte, dus was maar clean gestart.

P.S. meerdere cleanup en virus scan apps geprobeerd, niets vond een probleem of oorzaak.

[Reactie gewijzigd door pietjuhhh1990 op 23 augustus 2017 15:25]

En daarom is het zo belangrijk om op de permissies te letten. Zelf zet ik alles eerst uit en vervolgens kijk ik wat de app daadwerkelijk nodig heeft.
Soms is het niet makkelijk de permissies in te schatten.
Moet een launcher bij je contacten kunnen? Lijkt niet nodig, maar zonder die permissie kan je geen 'direct bellen' ikoontje op je startscherm zetten...
Ben ik het wel mee eens. Vaak kom je er wel achter als het ineens niet meer werkt bijvoorbeeld. Meeste is gewoon goed en systematisch nadenken.
Daarom: Ad-Away of als je (nog) niet wilt rooten: DNS66

Worden de hosts van die advertisers mooi geblockt zodat ze geen troep kunnen ophalen :)

[Reactie gewijzigd door RoestVrijStaal op 23 augustus 2017 12:25]

Er zijn bijna geen apps en games meer die een betaalde variant hebben. En dat is het grote probleem. Die stomme ads worden gewoon door je strot geduwd. Verplicht 20-30 seconden naar een stom filmpje kijken is voor mij een no-go.
Met spellen heb je redelijk gelijk, al zijn er veel spellen die het moeten hebben van IAP's en niet reclames. Maar qua apps moet ik je toch ongelijk geven, de meeste apps die ik gedownload heb, hebben een IAP om reclames weg te halen. Dit doe ik dan ook en als het niet kan, heb ik nog de ad blocker.
Maar na het 'afkopen' van de advertenties middels zo'n In-App Purchase, is de advertentie-module waarschijnlijk niet verwijderd uit de app. Hooguit (deels) inactief gemaakt?

Als er twee aparte versies ('gratis' en betaald) van een app in een Store beschikbaar zijn, dan ga ik er vanuit dat de betaalde versie helemaal geen advertentie-module bevat. Maar is er slechts één versie met IAP, dan zit de ad-SDK code er al ingebakken. :?
Laat ik nou net een paar apps gebruiken die geen betaalde variant hebben 7(8)7
Voorbeelden? Ben oprecht benieuwd~ dat de betaalde versies slechter zijn geloof ik direct, maar dat ze uberhaupt niet bestaan :/ . Zou kunnen hoor, daar niet van, meer gewoon verrast~
Facebook, Twitter, een hele berg spelletjes. Ik weet het ook niet precies want ik probeer ook zoveel mogelijk ad-infected apps te mijden.
Deze gebruiken geen third party voor SDK's, deze regelen zelf hun reclame. Dit is voor de huidige kwestie dus irrelevant. Gaat om apps welke externe SDK's gebruiken voor het tonen van reclame.
Er zijn hele bergen aan gratis apps die alles uit reclame willen halen, en geen payed versie maken.
Ik vind dat een ontwikkelaar ook de verantwoordelijkheid heeft om ervoor te zorgen dat zijn applicatie en de advertenties geen veiligheidslek zijn. Ik vind advertenties zelf niet zo'n probleem, malafide advertenties daarentegen.... Ik ga echt niet extra betalen om veilig te zijn, als ze aan me willen verdienen moeten ze de veiligheid maar waarborgen. Een lek of hack is nooit uit te sluiten, maar die advertenties zijn elke week wel weer negatief in het nieuws.


Maar betalen omdat de advertenties gevaarlijk zijn is een beetje als het aanschaffen van een deur waarbij de verkoper zegt dat je meer moet betalen anders geeft hij de sleutels ook aan 3 criminelen.

[Reactie gewijzigd door mark-k op 23 augustus 2017 13:04]

Eens kijken, eerst proberen, werkt het dan misschien betalen.

Maar wacht eerst proberen, oeps te laat, code kan er al inzitten en zaken van je tel gehaald hebben. Wat jij zegt is meteen betalen en dan maar geld terug krijgen binnen x dagen als het niet bevalt. Zal allemaal kunnen maar handig is het niet.
Mee eens, alleen steeds meer apps zijn op een subscription-based verdienmodel overgegaan. Ik betaal liever éénmalig 5 euro voor een app dan elke maand 99 cent.
Er is toch een beetje deelfde trend te zien als bij de mobiele games: meer in-app purchases, en minder "aanschaf". Ik zou het zeer zeker ook liever andersom hebben --derhalve speel ik vrijwel niet mobiel en ben ik nog steeds een dedicated pc gamer-- maar dit is de wereld. En als ze me dan toch geen optie bieden, tja, dan moeten de gebruikers die het geen probleem vinden dta ze een vervelend risico lopen maar wat extra klikken om voro mijn adblocker te compenseren. }>
in plaats van over de ruggen van de rest
Dus u vindt het wel goed als adverteerders over uw rug uw gegevens verzamelt?

Adblocker is voor mij niet een middel om geld weg te houden van websites, maar om virussen en (privacyschendende) malware weg te houden van mijn apparatuur.

[Reactie gewijzigd door NotCYF op 23 augustus 2017 13:08]

Niet in een kogelvrij vest naar buiten gaan is een gecalculeerd (laag) risico. Ik heb op straat nog nooit een kogel afgevuurd gezien, laat staan dat ik iemand neer heb zien vallen, laat staan dat dat met mij zou gebeuren. Ergo ik neem het 'risico'.

Echter, online gebeurt er van alles wat we niet kunnen zien of monitoren. Dat ik zelf nog niet bewust getroffen ben door een malefide advertentie betekent niet dat het niet al gebeurd is. Tevens heb ik geen cijfers over hoeveel gebruikers door hoeveel apps getroffen zijn. Dat is dus een zeer onbekend risico, en weldegelijk een geldige reden om een AdBlocker te gebruiken.
Maar is het dan je eigen schuld dat je geraakt wordt als er toch op straat geschoten wordt? Want dat zou dan de conclusie zijn. Je kiest immers zelf om geen vest te dragen.
Dan vind je het maar niet geloofwaardig, maar ik ga best ver om er voor te zorgen dat ik niet geinfecteerd raak met het 1 of ander. Onderdeel daarvan is ook ad-blocken.

Er was immers een tijd dat je bijna elk kwartaal wel weer een bericht zag dat website x malware aan het verspreiden was via automatisch verkochte advertentie ruimte. nu.nl was hier ook een aantal keer het slachtoffer van en sindsdien ontwijk ik het als de pest.
Ik weet niet of je het artikel gelezen hebt... Ik krijg daar een ander idee van. Lees eens het boek "Je hebt wel iets te verbergen", wordt heel duidelijk gemaakt dat er een hoop ellende over je verzameld wordt.

Overigens zijn veruit de meeste van mijn vesten (en andere kleding) kogelvrij. Dat zit gewoon prettiger. In een situatie waar er zoveel rondvliegende kogels als advertenties zijn, zou ik inderdaad een kogelwerend vest aan doen. Of weggaan.
Ik weet niet of je het artikel gelezen hebt... Ik krijg daar een ander idee van.
500 apps op een totaal van hoeveel miljoen?
Over welke apps gaat het? Hoeveel installaties vertegenwoordigen ze? Als de facebook app het gebruikt is het een groter probleem dan een app die 4 keer geinstalleerd werd
Lees eens het boek "Je hebt wel iets te verbergen", wordt heel duidelijk gemaakt dat er een hoop ellende over je verzameld wordt.
ik reageerde op de malware, niet op gerichte advertenties
Overigens zijn veruit de meeste van mijn vesten (en andere kleding) kogelvrij. Dat zit gewoon prettiger. In een situatie waar er zoveel rondvliegende kogels als advertenties zijn, zou ik inderdaad een kogelwerend vest aan doen. Of weggaan.
grapjas! Kogelvrij is wel degelijk correct Nederlands

[Reactie gewijzigd door vampke op 23 augustus 2017 17:27]

Wat een onzin reactie is dit zeg. Ik mag toch zeker wel zelf weten of ik een verbinding met een (malware) advertentie wil weigeren? Dat is net neutraliteit, en het is ook nog eens de enige manier om het internet nog een beetje veilig te houden.

Ik heb advertenties op Tweakers gewoon aanstaan(de enige exceptie is de privacylijst van uBlock). Zelfs al zou ik nu (per ongeluk) op deze advertenties klikken, dan moet ik deze alsnog eerst accepteren.

[Reactie gewijzigd door NotCYF op 24 augustus 2017 00:43]

Of laat de app-bouwer een betaalde versie maken ipv ads als verdienmodel te gebruiken? Hele ladingen apps waar geen betaalde versie van gemaakt is.
Apps met veelvuldige ad rotators leveren ongetwijfeld meer op dan een eenmalige betaling van ¤0,79. Daarnaast zijn er heel veel gebruikers die geen betaalmogelijkheid gekoppeld hebben, of niet kunnen of niet mogen. Denk aan kinderen of mensen zonder creditcard of PayPal. Gedoe met prepaid kaartjes is pas sinds kort mogelijk en vaak teveel gedoe voor een app die maar een paar maanden gebruikt worden.
Oh, dat geloof ik direct ja! Aan de andere kant, als je een fatsoenlijke provider hebt kun je via je telco abbo betalen in de Play Store.
Ik heb het ook niet over een adblocker gehad toch? Ik zie liever in app aankopen of een betaalde versie ipv al die advertenties, ik vind dat je dan een verkeerd verdienmodel hebt, zeker gezien het feit dat een groot deel van de gebruikers blockers gebruikt. Sommige games doen beide, neem Godus, in-app aankopen EN reclame..
Ik heb een betaalde levenslange versie van Adguard op non rooted LG G4. Maar wil nog steeds niet zeggen dat je persoonlijke gegevens niet worden doorgesluisd naar 3e partijen. Ik ben geen programmeur, eerder eindgebruiker en heb mijn vertrouwen en tevens al mijn hebben en houden van persoonlijke gegevens aan de ontwikkelaar zijn app gegeven als ik deze installeer. In hoop dat hier goed en eerlijk mee wordt omgegaan.

Een Adblocker is een gedeeltelijke oplossing. Maar niet 100%

[Reactie gewijzigd door aliberto op 23 augustus 2017 12:50]

dat lost het probleem wat in dit artikel beschreven staat helemaal niet op...
App developers zijn zelf verantwoordelijk voor welke libraries en/of sdk's ze gebruiken in hun apps.
Een app developer hoort de kleine lettertjes te lezen bij het gebruik van zo'n advertentie sdk, en als er dingen staan die duidelijk de privacy van de gebruiker ondermijnen, moet de ontwikkelaar de keuze maken om die sdk niet te gebruiken.
Ik denk niet dat in de kleine lettertjes van de SDK staat dat deze kwaadaardige code kan downloaden. Dat zal een zorgvuldig ongedocumenteerde nevenfunctie van een standaardfunctie zijn.
500 apps zijn me nogal wat. Ook fijn als er een lijst van de apps wordt vrijgegeven..
In dit geval gaat over oproepgegevens, maar ik heb soms idee dat ik advertenties krijg op basis niet-oproepgegevens.
We observed an app downloading large, encrypted files after making a series of initial requests to a REST API at http://sdk[.]open[.]phone[.]igexin.com/api.php, which is an endpoint used by the Igexin ad SDK.

This sort of traffic is often the result of malware that downloads and executes code after an initially "clean" app is installed, in order to evade detection. The encrypted file downloads and the presence of calls within the com.igexin namespace to Android's dalvik.system.DexClassLoader (used to load classes from a .jar or .apk file) were enough to warrant more in-depth analysis for possible malware hiding in its payload.
Dit is sowieso niet toegestaan, externe code inladen (zoals .dex files) gaat tegen de T&C in van de Play Store
Waarom maakt Lookout denamen niet bekend van de apps waaf deze rommel in zat?
Omdat de apps er waarschijnlijk niet van af wisten en dit onnodige imagoschade zou aanrichten.
Dat weegt dan dus helaas zwaarder dan het belang van de consument?

Ik heb nu dan nog misschien zo'n app geinstalleerd staan..... lekker is dat....
Als het vertrouwen al zo gering is dat je er niet op vertrouwd dat Google er iets aan doet, dan vraag ik me af waarom je überhaupt nog een Android telefoon hebt :/
Maar liefst 16 stuks, waarvan bijna bij alle een jailbreak een vereiste is.
De definitie malware wordt bij sommige mijns inziens ook nog eens opgerekt.
The attack would block use of the Safari browser on iOS until the victim pays the attacker money in the form of an iTunes Gift Card. During the lockout, the attackers displayed threatening messaging in an attempt to scare and coerce victims into paying. However, a knowledgeable user could restore functionality of Mobile Safari by clearing the browser’s cache via the the iOS Settings — the attack doesn’t actually encrypt any data and hold it ransom."
Ik denk dat je zijn punt maakt met jouw link. ;)
Zijn punt was (volgens mij) dat hij vanwege iOS onkwetsbaar was.

Niet dus, maar geloof verder wat je wil geloven.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*