Onderzoekers vinden kwaadaardige advertentie-sdk in 500 Play Store-apps

Onderzoekers van beveiligingsbedrijf Lookout hebben een kwaadaardige advertentie-sdk ontdekt in 500 Android-apps in de Play Store. Door de legitieme apps te gebruiken om kwaadaardige plug-ins binnen te halen, konden ze gebruikersdata verkrijgen, in dit geval oproepgegevens.

Volgens Lookout draagt de sdk de naam Igexin. Deze is bedoeld voor appbouwers om advertenties aan gebruikers te leveren, aldus het bedrijf. De onderzoekers kwamen erachter dat de sdk in staat is om kwaadaardige plug-ins binnen te halen, maar dat dit niet in alle gevallen is gebeurd. Het bedrijf stelt dat de apps die de sdk aan boord hadden, in totaal honderd miljoen keer zijn gedownload. Google heeft de getroffen exemplaren inmiddels uit de Play Store verwijderd.

De Lookout-onderzoekers ontdekten de apps tijdens een routineonderzoek van applicaties die communiceren met ip's waarvan bekend is dat ze malware verspreiden. Ze zagen dat een app grote versleutelde bestanden binnenhaalde, wat vaak het teken is dat een legitieme app naderhand kwaadaardige code binnenhaalt om zo detectie te voorkomen. Daarna voerden ze een analyse uit.

De apps communiceerden met een rest-api, die de opdracht kon geven om versleutelde jar-bestanden uit te voeren. Lookout schrijft dat de ontwikkelaars en gebruikers geen controle hebben over wat de app uitvoert als er eenmaal een api-call is uitgevoerd. De enige beperking zou het permissiesysteem van Android zelf zijn. De meest vergaande activiteit die de onderzoekers vaststelden, was het stelen van de oproepgeschiedenis van een apparaat, inclusief telefoonnummers en tijdstippen van oproepen.

Die gegevens worden vervolgens regelmatig via een http-verzoek naar het api-endpoint gestuurd. Het bedrijf stelt dat de ontwikkelaars van de apps misschien zelf niet doorhadden dat hun app tot kwaadaardige acties in staat was. Lookout publiceert geen namen van de getroffen apps, maar schrijft bijvoorbeeld dat het gaat om een app voor jongeren met vijftig tot honderd miljoen downloads en een weer-app met maximaal vijf miljoen downloads.

Het is niet de eerste keer dat schijnbaar legitieme toepassingen gebruikersgegevens doorsturen. Vorig jaar gebeurde dat met de Chinese Adups-software op telefoons van onder meer fabrikant Blu.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 23-08-2017 12:09
98 • submitter: ongekend41

23-08-2017 • 12:09

98 Linkedin

Submitter: ongekend41

Lees meer

Epic zet met Improbable fonds op voor 'door Unity benadeelde ontwikkelaars' Nieuws van 11 januari 2019
Amerikaanse smartphonemaker Blu schikt met FTC over dataverzameling op telefoons Nieuws van 1 mei 2018
Google verwijderde vorig jaar 70 procent meer apps uit de Play Store dan in 2016 Nieuws van 30 januari 2018
Beveiligingsbedrijf identificeert 22 zaklamp-apps als adware in Play Store Nieuws van 5 januari 2018
Google ontdekt Tizi-spyware die gegevens steelt op Android-apparaten Nieuws van 28 november 2017
Nepversie WhatsApp voor Android meer dan een miljoen keer gedownload Nieuws van 4 november 2017
'App om mensen anoniem te beoordelen stuurt contacten door' - update Nieuws van 28 augustus 2017
Chinese Android-app laat gebruikers eenvoudige malware in elkaar zetten Nieuws van 25 augustus 2017
Amazon staat verkoop van Blu-smartphones weer toe na privacyzorgen Nieuws van 7 augustus 2017
'Software die data verzamelt, aanwezig in Android-toestellen van 43 fabrikanten' Nieuws van 16 december 2016
Onderzoekers vinden rootkit-achtige software op 2,8 miljoen Android-toestellen Nieuws van 18 november 2016
Android-malware kan toestellen rooten en code installeren Nieuws van 23 juni 2016
Google: potentieel schadelijke apps op Android-apparaten gehalveerd in 2015 Nieuws van 19 april 2016
Meer producten en artikelen
Netwerk en systeembeheer Google Android Security

Reacties (98)

-Moderatie-faq
98
84
35
2
0
18
Wijzig sortering
Moosjes
23 augustus 2017 12:27
Maar ik kan nu dus niet weten of dit op mijn telefoon gebeurt is? Want ze maken niet bekend welke apps. Of krijg ik van Google een melding als ik een app gebruik welke uit de playstore verwijderd wordt?
Sleurhutje
@Moosjes23 augustus 2017 12:53
Het verbaast mij ook keer op keer dat er heel hard geroepen wordt dat dat er een x-aantal apps besmet zijn. Maar vervolgens ontbreekt aan alle kanten informatie over welke apps het dan zijn.
pietjuhhh1990
@Moosjes23 augustus 2017 15:18
Ik had dit, valt je echt wel op. Op random momenten springt er ineens een reclame open (meestal tegelijk met het openen van een app), soms komt er ook ineens de melding dat iets geopend wil worden.

Meteen telefoon een factory reset gegeven, kon zo geen app vinden welke het veroorzaakte, dus was maar clean gestart.

P.S. meerdere cleanup en virus scan apps geprobeerd, niets vond een probleem of oorzaak.

[Reactie gewijzigd door pietjuhhh1990 op 23 augustus 2017 15:25]

AnonymousWP
23 augustus 2017 12:23
En daarom is het zo belangrijk om op de permissies te letten. Zelf zet ik alles eerst uit en vervolgens kijk ik wat de app daadwerkelijk nodig heeft.
JAVE
@AnonymousWP23 augustus 2017 12:32
Soms is het niet makkelijk de permissies in te schatten.
Moet een launcher bij je contacten kunnen? Lijkt niet nodig, maar zonder die permissie kan je geen 'direct bellen' ikoontje op je startscherm zetten...
AnonymousWP
@JAVE23 augustus 2017 12:36
Ben ik het wel mee eens. Vaak kom je er wel achter als het ineens niet meer werkt bijvoorbeeld. Meeste is gewoon goed en systematisch nadenken.
RoestVrijStaal
23 augustus 2017 12:24
Daarom: Ad-Away of als je (nog) niet wilt rooten: DNS66

Worden de hosts van die advertisers mooi geblockt zodat ze geen troep kunnen ophalen :)

[Reactie gewijzigd door RoestVrijStaal op 23 augustus 2017 12:25]

Nyarlathotep
@David Mulder23 augustus 2017 13:10
Er zijn bijna geen apps en games meer die een betaalde variant hebben. En dat is het grote probleem. Die stomme ads worden gewoon door je strot geduwd. Verplicht 20-30 seconden naar een stom filmpje kijken is voor mij een no-go.
RebelwaClue
@Nyarlathotep24 augustus 2017 09:50
Met spellen heb je redelijk gelijk, al zijn er veel spellen die het moeten hebben van IAP's en niet reclames. Maar qua apps moet ik je toch ongelijk geven, de meeste apps die ik gedownload heb, hebben een IAP om reclames weg te halen. Dit doe ik dan ook en als het niet kan, heb ik nog de ad blocker.
NetAmp
@RebelwaClue24 augustus 2017 10:13
Maar na het 'afkopen' van de advertenties middels zo'n In-App Purchase, is de advertentie-module waarschijnlijk niet verwijderd uit de app. Hooguit (deels) inactief gemaakt?

Als er twee aparte versies ('gratis' en betaald) van een app in een Store beschikbaar zijn, dan ga ik er vanuit dat de betaalde versie helemaal geen advertentie-module bevat. Maar is er slechts één versie met IAP, dan zit de ad-SDK code er al ingebakken. :?
RoestVrijStaal
@David Mulder23 augustus 2017 12:37
Laat ik nou net een paar apps gebruiken die geen betaalde variant hebben 7(8)7
David Mulder
@RoestVrijStaal23 augustus 2017 12:45
Voorbeelden? Ben oprecht benieuwd~ dat de betaalde versies slechter zijn geloof ik direct, maar dat ze uberhaupt niet bestaan :/ . Zou kunnen hoor, daar niet van, meer gewoon verrast~
EdwinB
@David Mulder23 augustus 2017 13:16
Facebook, Twitter, een hele berg spelletjes. Ik weet het ook niet precies want ik probeer ook zoveel mogelijk ad-infected apps te mijden.
pietjuhhh1990
@EdwinB23 augustus 2017 15:32
Deze gebruiken geen third party voor SDK's, deze regelen zelf hun reclame. Dit is voor de huidige kwestie dus irrelevant. Gaat om apps welke externe SDK's gebruiken voor het tonen van reclame.
Hephaestos
@David Mulder23 augustus 2017 13:01
Er zijn hele bergen aan gratis apps die alles uit reclame willen halen, en geen payed versie maken.
mark-k
@David Mulder23 augustus 2017 13:03
Ik vind dat een ontwikkelaar ook de verantwoordelijkheid heeft om ervoor te zorgen dat zijn applicatie en de advertenties geen veiligheidslek zijn. Ik vind advertenties zelf niet zo'n probleem, malafide advertenties daarentegen.... Ik ga echt niet extra betalen om veilig te zijn, als ze aan me willen verdienen moeten ze de veiligheid maar waarborgen. Een lek of hack is nooit uit te sluiten, maar die advertenties zijn elke week wel weer negatief in het nieuws.


Maar betalen omdat de advertenties gevaarlijk zijn is een beetje als het aanschaffen van een deur waarbij de verkoper zegt dat je meer moet betalen anders geeft hij de sleutels ook aan 3 criminelen.

[Reactie gewijzigd door mark-k op 23 augustus 2017 13:04]

bbob
@David Mulder23 augustus 2017 13:38
Eens kijken, eerst proberen, werkt het dan misschien betalen.

Maar wacht eerst proberen, oeps te laat, code kan er al inzitten en zaken van je tel gehaald hebben. Wat jij zegt is meteen betalen en dan maar geld terug krijgen binnen x dagen als het niet bevalt. Zal allemaal kunnen maar handig is het niet.
TMDC
@David Mulder23 augustus 2017 14:57
Mee eens, alleen steeds meer apps zijn op een subscription-based verdienmodel overgegaan. Ik betaal liever éénmalig 5 euro voor een app dan elke maand 99 cent.
KouweZakkie
@David Mulder23 augustus 2017 15:50
Er is toch een beetje deelfde trend te zien als bij de mobiele games: meer in-app purchases, en minder "aanschaf". Ik zou het zeer zeker ook liever andersom hebben --derhalve speel ik vrijwel niet mobiel en ben ik nog steeds een dedicated pc gamer-- maar dit is de wereld. En als ze me dan toch geen optie bieden, tja, dan moeten de gebruikers die het geen probleem vinden dta ze een vervelend risico lopen maar wat extra klikken om voro mijn adblocker te compenseren. }>
MrFax
@David Mulder23 augustus 2017 13:06
in plaats van over de ruggen van de rest
Dus u vindt het wel goed als adverteerders over uw rug uw gegevens verzamelt?

Adblocker is voor mij niet een middel om geld weg te houden van websites, maar om virussen en (privacyschendende) malware weg te houden van mijn apparatuur.

[Reactie gewijzigd door MrFax op 23 augustus 2017 13:08]

A Lurker
@Anoniem: 16791223 augustus 2017 16:16
Niet in een kogelvrij vest naar buiten gaan is een gecalculeerd (laag) risico. Ik heb op straat nog nooit een kogel afgevuurd gezien, laat staan dat ik iemand neer heb zien vallen, laat staan dat dat met mij zou gebeuren. Ergo ik neem het 'risico'.

Echter, online gebeurt er van alles wat we niet kunnen zien of monitoren. Dat ik zelf nog niet bewust getroffen ben door een malefide advertentie betekent niet dat het niet al gebeurd is. Tevens heb ik geen cijfers over hoeveel gebruikers door hoeveel apps getroffen zijn. Dat is dus een zeer onbekend risico, en weldegelijk een geldige reden om een AdBlocker te gebruiken.
Tarabass
@A Lurker23 augustus 2017 23:28
Maar is het dan je eigen schuld dat je geraakt wordt als er toch op straat geschoten wordt? Want dat zou dan de conclusie zijn. Je kiest immers zelf om geen vest te dragen.
Gropah
@Anoniem: 16791223 augustus 2017 21:02
Dan vind je het maar niet geloofwaardig, maar ik ga best ver om er voor te zorgen dat ik niet geinfecteerd raak met het 1 of ander. Onderdeel daarvan is ook ad-blocken.

Er was immers een tijd dat je bijna elk kwartaal wel weer een bericht zag dat website x malware aan het verspreiden was via automatisch verkochte advertentie ruimte. nu.nl was hier ook een aantal keer het slachtoffer van en sindsdien ontwijk ik het als de pest.
Heidistein
@Anoniem: 16791223 augustus 2017 13:40
Ik weet niet of je het artikel gelezen hebt... Ik krijg daar een ander idee van. Lees eens het boek "Je hebt wel iets te verbergen", wordt heel duidelijk gemaakt dat er een hoop ellende over je verzameld wordt.

Overigens zijn veruit de meeste van mijn vesten (en andere kleding) kogelvrij. Dat zit gewoon prettiger. In een situatie waar er zoveel rondvliegende kogels als advertenties zijn, zou ik inderdaad een kogelwerend vest aan doen. Of weggaan.
Anoniem: 167912
@Heidistein23 augustus 2017 17:22
Ik weet niet of je het artikel gelezen hebt... Ik krijg daar een ander idee van.
500 apps op een totaal van hoeveel miljoen?
Over welke apps gaat het? Hoeveel installaties vertegenwoordigen ze? Als de facebook app het gebruikt is het een groter probleem dan een app die 4 keer geinstalleerd werd
Lees eens het boek "Je hebt wel iets te verbergen", wordt heel duidelijk gemaakt dat er een hoop ellende over je verzameld wordt.
ik reageerde op de malware, niet op gerichte advertenties
Overigens zijn veruit de meeste van mijn vesten (en andere kleding) kogelvrij. Dat zit gewoon prettiger. In een situatie waar er zoveel rondvliegende kogels als advertenties zijn, zou ik inderdaad een kogelwerend vest aan doen. Of weggaan.
grapjas! Kogelvrij is wel degelijk correct Nederlands

[Reactie gewijzigd door Anoniem: 167912 op 23 augustus 2017 17:27]

MrFax
@David Mulder24 augustus 2017 00:37
Wat een onzin reactie is dit zeg. Ik mag toch zeker wel zelf weten of ik een verbinding met een (malware) advertentie wil weigeren? Dat is net neutraliteit, en het is ook nog eens de enige manier om het internet nog een beetje veilig te houden.

Ik heb advertenties op Tweakers gewoon aanstaan(de enige exceptie is de privacylijst van uBlock). Zelfs al zou ik nu (per ongeluk) op deze advertenties klikken, dan moet ik deze alsnog eerst accepteren.

[Reactie gewijzigd door MrFax op 24 augustus 2017 00:43]

wizzfrizzle
@David Mulder23 augustus 2017 12:43
Of laat de app-bouwer een betaalde versie maken ipv ads als verdienmodel te gebruiken? Hele ladingen apps waar geen betaalde versie van gemaakt is.
Sleurhutje
@wizzfrizzle23 augustus 2017 12:57
Apps met veelvuldige ad rotators leveren ongetwijfeld meer op dan een eenmalige betaling van €0,79. Daarnaast zijn er heel veel gebruikers die geen betaalmogelijkheid gekoppeld hebben, of niet kunnen of niet mogen. Denk aan kinderen of mensen zonder creditcard of PayPal. Gedoe met prepaid kaartjes is pas sinds kort mogelijk en vaak teveel gedoe voor een app die maar een paar maanden gebruikt worden.
wizzfrizzle
@Sleurhutje23 augustus 2017 12:59
Oh, dat geloof ik direct ja! Aan de andere kant, als je een fatsoenlijke provider hebt kun je via je telco abbo betalen in de Play Store.
wizzfrizzle
@David Mulder23 augustus 2017 12:56
Ik heb het ook niet over een adblocker gehad toch? Ik zie liever in app aankopen of een betaalde versie ipv al die advertenties, ik vind dat je dan een verkeerd verdienmodel hebt, zeker gezien het feit dat een groot deel van de gebruikers blockers gebruikt. Sommige games doen beide, neem Godus, in-app aankopen EN reclame..
aliberto
@RoestVrijStaal23 augustus 2017 12:41
Ik heb een betaalde levenslange versie van Adguard op non rooted LG G4. Maar wil nog steeds niet zeggen dat je persoonlijke gegevens niet worden doorgesluisd naar 3e partijen. Ik ben geen programmeur, eerder eindgebruiker en heb mijn vertrouwen en tevens al mijn hebben en houden van persoonlijke gegevens aan de ontwikkelaar zijn app gegeven als ik deze installeer. In hoop dat hier goed en eerlijk mee wordt omgegaan.

Een Adblocker is een gedeeltelijke oplossing. Maar niet 100%

[Reactie gewijzigd door aliberto op 23 augustus 2017 12:50]

smokeyslim
@RoestVrijStaal23 augustus 2017 12:44
dat lost het probleem wat in dit artikel beschreven staat helemaal niet op...
frankkie12345
23 augustus 2017 12:23
App developers zijn zelf verantwoordelijk voor welke libraries en/of sdk's ze gebruiken in hun apps.
Een app developer hoort de kleine lettertjes te lezen bij het gebruik van zo'n advertentie sdk, en als er dingen staan die duidelijk de privacy van de gebruiker ondermijnen, moet de ontwikkelaar de keuze maken om die sdk niet te gebruiken.
CivLord
@frankkie1234524 augustus 2017 08:22
Ik denk niet dat in de kleine lettertjes van de SDK staat dat deze kwaadaardige code kan downloaden. Dat zal een zorgvuldig ongedocumenteerde nevenfunctie van een standaardfunctie zijn.
Tweakwondo
23 augustus 2017 12:40
500 apps zijn me nogal wat. Ook fijn als er een lijst van de apps wordt vrijgegeven..
m.z
23 augustus 2017 13:05
In dit geval gaat over oproepgegevens, maar ik heb soms idee dat ik advertenties krijg op basis niet-oproepgegevens.
WhatsappHack
23 augustus 2017 13:16
En 2 weken geleden vond Lookout nog 1000 apps met SonicSpy; http://www.zdnet.com/arti...d-with-1000-spyware-apps/
P1nGu1n
23 augustus 2017 13:32
We observed an app downloading large, encrypted files after making a series of initial requests to a REST API at http://sdk[.]open[.]phone[.]igexin.com/api.php, which is an endpoint used by the Igexin ad SDK.

This sort of traffic is often the result of malware that downloads and executes code after an initially "clean" app is installed, in order to evade detection. The encrypted file downloads and the presence of calls within the com.igexin namespace to Android's dalvik.system.DexClassLoader (used to load classes from a .jar or .apk file) were enough to warrant more in-depth analysis for possible malware hiding in its payload.
Dit is sowieso niet toegestaan, externe code inladen (zoals .dex files) gaat tegen de T&C in van de Play Store
bussie66
23 augustus 2017 15:26
Waarom maakt Lookout denamen niet bekend van de apps waaf deze rommel in zat?
Ventieldopje
@bussie6623 augustus 2017 15:45
Omdat de apps er waarschijnlijk niet van af wisten en dit onnodige imagoschade zou aanrichten.
bussie66
@Ventieldopje23 augustus 2017 17:23
Dat weegt dan dus helaas zwaarder dan het belang van de consument?

Ik heb nu dan nog misschien zo'n app geinstalleerd staan..... lekker is dat....
Ventieldopje
@bussie6623 augustus 2017 17:43
Als het vertrouwen al zo gering is dat je er niet op vertrouwd dat Google er iets aan doet, dan vraag ik me af waarom je überhaupt nog een Android telefoon hebt :/
TMDC
@65927123 augustus 2017 14:59
https://www.theiphonewiki.com/wiki/Malware_for_iOS
SidewalkSuper
@TMDC23 augustus 2017 15:59
Maar liefst 16 stuks, waarvan bijna bij alle een jailbreak een vereiste is.
De definitie malware wordt bij sommige mijns inziens ook nog eens opgerekt.
The attack would block use of the Safari browser on iOS until the victim pays the attacker money in the form of an iTunes Gift Card. During the lockout, the attackers displayed threatening messaging in an attempt to scare and coerce victims into paying. However, a knowledgeable user could restore functionality of Mobile Safari by clearing the browser’s cache via the the iOS Settings — the attack doesn’t actually encrypt any data and hold it ransom."
Ik denk dat je zijn punt maakt met jouw link. ;)
TMDC
@SidewalkSuper23 augustus 2017 19:43
Zijn punt was (volgens mij) dat hij vanwege iOS onkwetsbaar was.

Niet dus, maar geloof verder wat je wil geloven.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee