Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet

Google heeft ongeveer 300 apps uit de Play Store verwijderd, nadat bleek dat deze deel uitmaakten van een Android-botnet. Dit bleek uit gezamenlijk onderzoek van verschillende beveiligings- en internetbedrijven, die het zogenaamde WireX-botnet op het spoor kwamen.

De bedrijven, waaronder Akamai, Cloudflare, Flashpoint en RiskIQ, hebben samen de resultaten van het onderzoek gepresenteerd. Ze schrijven dat op 17 augustus verschillende cdn's het doelwit waren van een ddos-aanval, waardoor de aandacht werd gevestigd op het botnet dat hiervoor verantwoordelijk was. Het bleek dat het botnet mogelijk al actief was sinds 2 augustus, maar dat de aanvallen toen te klein waren om waar te nemen. Dat zou een aanwijzing zijn dat de desbetreffende malware toen nog in ontwikkeling was.

De ontdekking vond plaats doordat de bedrijven gingen zoeken naar de tekst die voorkwam in de user agent in hun logbestanden. Die bestond uit een willekeurige volgorde van kleine letters. De zoektocht leidde de bedrijven uiteindelijk naar een Android-applicatie, waarna de binaries onderzocht konden worden. Het bleek dat een klein deel van de apps in winkels voor mobiele apparaten te vinden waren, waaronder de Play Store.

Het ging bijvoorbeeld om schijnbaar legitieme apps voor het afspelen van media, het instellen van beltonen of het beheren van opslag. Na de installatie maakten de apps verbinding met een centrale c2-server, die hen voorzag van aanvalscommando's waarmee een bepaald doelwit onder vuur genomen kon worden. Dat was ook mogelijk als de app alleen op de achtergrond actief was. Nadat de bedrijven Google op de hoogte hadden gesteld, kon het bedrijf de apps verwijderen uit de Play Store en van toestellen. Het is dan ook niet meer mogelijk de apps te installeren, aldus bedrijven.

Bij een ddos-aanval op 15 augustus waren ongeveer 70.000 verschillende apparaten betrokken, aldus de bedrijven. Akamai meldt aan onderzoeksjournalist Brian Krebs dat er bij aanvallen tussen de 130.000 en 160.000 unieke ip-adressen werden vastgesteld en dat het eerdere getal een conservatieve schatting is. Bij de aanval van 17 augustus waren ip-adressen uit meer dan honderd landen betrokken. Het botnet gebruikte voornamelijke GET-verzoeken als aanvalsmethode, andere varianten gebruikten POST.

De bedrijven schrijven dat hun samenwerking voortkwam uit de tijd dat het Mirai-botnet grote ddos-aanvallen uitvoerde. Dat gebeurde bijvoorbeeld op dns-provider Dyn, maar ook op de site van Brian Krebs. Destijds bleek dat er meer samenwerking nodig was om dat soort aanvallen af te slaan.

IT-banen

Reacties (99)

MineTurtle 29 augustus 2017 08:13

Is er toevallig ook een lijst bekend met app's die geïnfecteerd zijn? Ik zou namelijk wel willen weten of ik niet toevallig een van deze app's op mijn smartphones heb staan.

Oekol @MineTurtle • 29 augustus 2017 08:22

Notably, it is no longer possible to install this application as Google’s PlayProtect feature now blocks this app from being installed. Google is also removing it from devices that already have it installed. All of the applications we tested that were part of this campaign produced this block message; disabling PlayProtect was necessary to run the malware.

In de eerste link van het onderzoek staat bovenstaande ! Misschien kan dit in het bericht hierboven opgenomen worden zodat het voor iedereen duidelijk is

Verwijderd @Oekol • 29 augustus 2017 09:19

Ik ben er toch niet zo blij mee dat Google ongevraagd software van mijn telefoon kan verwijderen (of uberhaupt weet wat ik allemaal geinstalleerd heb) en heb die functionaliteit dan ook uitstaan. Zo'n lijst kan dus toch wel handig zijn.

Mopperman @Verwijderd • 29 augustus 2017 11:29

de lijst is beschikbaar - de belangrijkste app hierin word genoemd als "Xryufrix" - meer details bij de buren.

Verwijderd @Mopperman • 29 augustus 2017 11:32

Hmmm, apkpure.com. Ik ben die site wel eens in Google zoekresultaten tegengekomen, maar dat is zo'n site die je niet een app levert maar een downloader die belooft de app te installeren. Daar kun je beter verre van blijven, tenzij je een testtelefoon hebt die je daarna kunt flashen met nieuwe firmware.

Zyppora @Verwijderd • 29 augustus 2017 16:56

Onzin. apkpure.com is een soort mirror voor de Play Store, waarin je bijvoorbeeld apps kunt vinden die de Play Store niet heeft vrijgegeven voor jouw regio. Je kunt de apks rechtstreeks van die website downloaden en hoeft dat dus niet via een downloader/installer te doen. Ik heb hier in het verleden gebruik van gemaakt en het heeft voor mij gewoon zonder problemen gewerkt. Ik gebruik het bijvoorbeeld in combinatie met MEmu, een android emulator, waarvoor ik geen zin heb een google account te openen om de play store te kunnen benaderen.

Verwijderd @Zyppora • 29 augustus 2017 22:40

Net even gekeken, ik heb me inderdaad vergist. Ik werd door die Google search printout op het verkeerde been gezet.

Cerberus_tm

@Zyppora • 30 augustus 2017 02:00

Is Memu trouwens beter dan b.v. Genymotion?

Zyppora @Cerberus_tm • 31 augustus 2017 09:32

Ik heb alleen Andy en Memu geprobeerd, Memu is verreweg superieur. Andy had het vervelende bijverschijnsel uit zichzelf apps te installeren (vermoedelijk een verdienmodel van hun), en Memu biedt de mogelijkheid meerdere instanties tegelijk te draaien.

Cerberus_tm

@Zyppora • 31 augustus 2017 18:32

Aha, goede tip! Dan ga ik waarschijnlijk Memu in de toekomst installeren om Final Fantasy Tactics te spelen. Het enige wat ik me afvraag is waar ze hun geld mee verdienen.

Superkanjo @Verwijderd • 29 augustus 2017 09:29

Als ik jou wensen zo hoor is er een oplossing, de Play Store niet gebruiken.

catfish @Superkanjo • 29 augustus 2017 09:52

Het is niet omdat ik mijn spullen koop dat ik het zo fantastisch vind dat bijvoorbeeld AH perfect weet wat ik koop (dankzij de klantenkaart). Maar om nu te zeggen dat de AH niet alleen eieren uit de rekken haalt, maar ook uit mijn kast vind ik toch wat ver gaan.

Dragonheart-03 @catfish • 29 augustus 2017 10:04

Als de software schadelijk is - en aanvallen uitvoert (die jij niet kunt tegenhouden tenzij dat je offline bent (en dan kan google ze ook niet verwijderen) op andere gebruikers), lijkt het me zelfs een plicht om dat vanuit Google uit te voeren.

In de vergelijking met de 'eieren - als de 'eieren' radioactief zouden zijn, dan zul jij zelf absoluut maar al te graag willen dat AH ze komt ophalen. Radioactief als voorbeeld voor een gevaar dat jij niet kunt beheersen / elimineren en dat schadelijk is voor de maatschappij.

Firefly87 @catfish • 29 augustus 2017 10:33

Het zou mij toch best fijn lijken als ik Fibronil eieren in mn (koel)kast zou hebben... dat de winkel ze voor me kan verwijderen voor ik ze opeet ;-)

Persoonlijk vind ik het een goede zaak dat Google ons bescherming bied.
Het is net de politie, Op straat kunnen ze je met camera's altijd volgen,dat vind je vast ook niet zo leuk.
Maar wanneer je portemonnee gerold word, en ze je dief oppakken voor hij er vandoor is dankzij die camera's dan ben jij zeer waarschijnlijk wel gelukkig met die camera's.

Met andere woorden ieder nadeel heeft zn voordeel ;-)

Verwijderd @catfish • 29 augustus 2017 11:03

Maar om nu te zeggen dat de AH niet alleen eieren uit de rekken haalt, maar ook uit mijn kast vind ik toch wat ver gaan.

Als de AH dat kon, zouden ze dat absoluut doen maar ze moeten zich beperken tot een terugroepactie. Je hebt natuurlijk wel te maken met twee totaal verschillende contexten...
Als je een app buiten te play store om installeert kan Google er m.i. ook niets mee. Als je Google's apwinkel gebruikt lijkt het me redelijk vanzelfsprekend dat ze daar wat mee kunnen, dat zie ik doorgaans toch wel als voordeel in dit soort situaties.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:32]

itsyaboy @Superkanjo • 29 augustus 2017 10:00

Beetje flauwe reactie op iemand met niet eens al te gekke bezwaren. Zo moeilijk is het toch niet om die lijst te publiceren? Daarnaast is het juist goed om transparant te zijn over daadwerkelijk foute apps. Genereert mogelijk ook weer bewustzijn bij gebruikers. Straks snapt iemand niet waarom een bepaalde app van zijn/haar telefoon is en dan leert diegene er ook niks van..

Fornoo @itsyaboy • 29 augustus 2017 10:51

Als je alle betreffende mensen zou informeren, begrijpt 99% het eenvoudig niet. Ddos? Malware? Botnet? Wat is dat? Die verwarring zorgt juist voor (onnodig) meer zorgen en onrust. Ik denk Google er goed aan heeft gedaan om het op deze wijze aan te pakken.

De mensen die het wel opmerken kunnen altijd contact opnemen met Google.

Dan nog, wat heb je aan een dergelijke lijst?

[Reactie gewijzigd door Fornoo op 23 juli 2024 08:32]

Macshack @Fornoo • 29 augustus 2017 16:18

Die verwarring zorgt juist voor (onnodig) meer zorgen en onrust.

Dit is juist het punt. Google is letterlijk aan het censureren. Google kan niet bepalen of iemands zorgen wel of niet terecht zijn. Als mensen zich daar zorgen om gaan maken dan hebben ze daar recht op. Nu wordt dat recht beperkt omdat de mensen het niet eens weten. Laat mensen zich maar eens zorgen maken over bedrijven zoals Google en het android eco-systeem die ze gebruiken waar Google vervolgens weer winsten mee boekt. Dat zou best een gezonde reactie zijn. Maar ja, als Google (lees big brother) zelf mag bepalen waar hun gebruikers zich zorgen over mogen/moeten maken dan is dat niet een gezonde situatie.

Verwijderd @Macshack • 29 augustus 2017 22:51

Als ze er niet zoveel gezeik mee zouden krijgen denk ik dat ze adblockers en niet censurerende sociale netwerken als Gab ook zouden verwijderen.

Macshack @Verwijderd • 30 augustus 2017 08:22

Precies ik hoop ook dat consumenten meer privacy bewust gaan worden waardoor Google ineens geen aantrekkelijk bedrijf meer is om "producten" van te gebruiken. Google biedt wel "gratis" services aan maar altijd tenkoste van privacy. Anders ga/moet je ervoor betalen.

oef! @itsyaboy • 29 augustus 2017 11:20

Net alsof gebruikers lijsten met gebande apps doornemen. Het is ook niet zo dat de gebruikers überhaupt konden zien of dit een kwaadwillende app was. Een notificatie dat de app verwijderd was zou trouwens wel oké zijn.

Het bezwaar wat gemaakt wordt is in dit geval onterecht, de impact ervan is te groot om dit aan de gebruiker over te laten en Google wordt verantwoordelijk gehouden als het puntje bij paaltje komt.

codex @itsyaboy • 29 augustus 2017 11:59

In principe zou een notificatie van Google Play of zelfs(ivm blokkeren notificaties) vanuit het Android systeem prima zijn. Een melding als: wij hebben applicatie xxx van uw toestel verwijderd. De reden ervan is bla bla bla. Google doet zijn best om u als gebruiker te beschermen.

Verwijderd @Superkanjo • 29 augustus 2017 09:47

Doe ik ook niet op mijn actieve apparaat. Om toch aan sommige betaalapps te komen (degenen die geen Google Play check doen) heb ik een account aangemaakt op een telefoon die ik verder niet gebruik anders dan voor het downloaden van apps.

Degene die wel checken of er een bepaald Play account actief is hebben pech, daar is ook wel anders aan te komen.

monojack @Superkanjo • 29 augustus 2017 10:55

Of een iPhone

RebelwaClue @Verwijderd • 29 augustus 2017 10:42

Zowel Apple als Google kunnen apps verwijderen van je telefoon. En aangezien het gekoppeld is aan je AppleID/Google account, lijkt het me logisch dat ze weten wat je installeert. Al weet ik niet of dit geldt voor apps die geinstalleerd zijn buiten de Playstore om. Sowieso kan Google deze niet deinstalleren.

Verwijderd @RebelwaClue • 29 augustus 2017 10:43

Ik heb helemaal geen Google account actief op mijn Android telefoon. Ik installeer alles via de apk.

RebelwaClue @Verwijderd • 29 augustus 2017 10:45

Dan weet Google niet dat je de app hebt noch kunnen ze die verwijderen.

monojack @Verwijderd • 29 augustus 2017 11:04

Ik snap heel goed dat je geen Google account op je telefoon wil. Die kerels gaan niet slapen voor ze weten welk standje je hebt gedaan die nacht

Maar een kill switch is toch een essentieel onderdeel van een smartphone vind ik persoonlijk. Ik vrees dat criminelen nog stunts gaan kunnen verwezenlijken met smartphones die ons vandaag verstomd zouden doen slaan. Daarvoor is die kill switch uitgevonden om voorbereid te zijn op het ondenkbare. Bij het ene bedrijf hebben ze hun zaakjes beter op orde dan bij het andere want Apple heeft nog nooit de kill switch moeten gebruiken.

Misschien moet je volgende keer eens opteren voor een telefoon van een bedrijf dat het geen zier kan schelen welk standje je deed vannacht

Verwijderd @monojack • 29 augustus 2017 11:28

Ik heb ook geen behoefte aan een telefoon waar niet ik maar de fabrikant bepaalt wat ik er wel en niet mee mag. Rooten en sideloaden zijn essentieel voor me.

monojack @Verwijderd • 29 augustus 2017 23:18

Kan toch prima met een iPhone?!

Verwijderd @monojack • 30 augustus 2017 10:53

Geen idee - waar kan ik vinden hoe ik een iPhone kan jailbreaken?

monojack @Verwijderd • 30 augustus 2017 18:34

Euh, Duck Duck Duck Go misschien?

Handleiding jailbreak voor iOS 9 en iOS 10

Verwijderd @monojack • 30 augustus 2017 21:45

Nou geweldig hoor. De laatste versie op de nieuwste toestellen werkt niet en na iedere reboot opnieuw rooten. Android is tpoch wel een stuk handiger daarmee.

monojack @Verwijderd • 31 augustus 2017 12:46

Tja ik hoef niet te jailbreaken of rooten. Ik weet dat mijn veiligheid en privacy beschermt worden door Apple en loop nooit tegen restricties aan in mijn gebruikservaring dus tja dan zal je maar met die onzekerheid over infecties moeten leren leven denk ik

Verwijderd @monojack • 31 augustus 2017 13:24

Je privacy, veiligheid en zeker je gebruikservaring wordt niet beschermd door Apple, want je kunt bv. niet voorkomen dat advertenties gedownload worden. Of een fatsoenlijke lokale backup per app maken en die op een ander toestel restoren.

monojack @Verwijderd • 31 augustus 2017 13:40

Ik kan wel voorkomen dat advertenties gedownload worden. Adblocking is ingebouwd in Safari. Daarnaast is het aan jouw de keuze om ad-vrije apps te gebruiken. Je hebt standaard duck duck go als search engine enz. ik kan mijn apps via iTunes backuppen en op een ander toestel gebruiken.

Maar kom dat zijn de dingen waar ik tevreden mee ben. Ik snap dat jij apps wil gebruiken die advertenties vertonen en die kunnen blokkeren en idd dat kan niet bij out of the box iOS. Maar Apple doet genoeg inspanning ervoor te zorgen dat ik veilig mijn toestel kan gebruiken en mijn privacy gewaarborgd kan blijven zolang ik zelf ook een beetje oplet. De tools zijn er en de fabrikant is geen advertentie gigant dus dat helpt ook alweer

zacht @Verwijderd • 29 augustus 2017 12:22

Buiten het feit dat Google ongevraagd software verwijdert zou ik wel willen weten of er kwaadwillige software op mijn telefoon gestaan heeft. Nu komt het over als een FTFY zonder echte informatie over eventuele schade voor mij als gebruiker.

Verwijderd @Verwijderd • 29 augustus 2017 15:51

Dat weten ze toch sowieso? Je haalt het immers bij hen vandaan, en daar zijn logs van. Er wordt netjes een lijstje van apps bijgehouden in je Google-account.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:32]

Verwijderd @Verwijderd • 29 augustus 2017 16:21

Maar dat Google account is alleen actief op een testtetelfoon en mijn PC, niet op mijn gebruikstelefoon.

Auteur

duqu @Oekol • 29 augustus 2017 08:53

Da's een goeie. Ik heb een zin toegevoegd.

Stoelpoot @Oekol • 29 augustus 2017 08:55

PlayProtect was toch een Android O feature? Dit is dus alleen nuttig voor de kleine groep mensen die uberhaupt toegang heeft tot die update. Een lijst met apps zou nog steeds handig zijn.

Superkanjo @Stoelpoot • 29 augustus 2017 09:23

Nee, Playprotect werkt op alle devices waar de Play store op geïnstalleerd is (enkele functies kunnen mogelijk pas werken vanaf Android 7.0)

https://support.google.com/accounts/answer/2812853?hl=en

Stoelpoot @Superkanjo • 29 augustus 2017 09:26

Maar goed, de apps kwamen ook van andere app stores. Bovendien zullen er altijd mensen zijn die iets uit willen zetten.

Superkanjo @Stoelpoot • 29 augustus 2017 09:28

Dit artikel gaat toch over het verwijderen van de apps uit de Play Store? Ga je buiten de Play Store om apps installeren is het eigen schuld en valt Google niets te verwijten omdat ze daar geen controle over hebben.

Stoelpoot @Superkanjo • 29 augustus 2017 09:32

Uit het artikel: "Het bleek dat een klein deel van de apps in winkels voor mobiele apparaten te vinden waren, waaronder de Play Store."

Ik verwijt de Google overigens ook niets, ik vraag me alleen of of er ergens een lijst de gevonden apps bestaat. Verder vertrouw ik er ook niet blindelings op dat malware zichzelf laat verwijderen door een externe partij.

Craimasjien @Stoelpoot • 29 augustus 2017 09:41

De malware wordt indirect verwijderd door een externe partij. Ingebouwde en eventueel verkregen arbitraire code wordt verwijderd zodra Google stilletjes de app van je telefoon verwijdert. Het is onmogelijk dat er zonder extra rechten voor de app code achterblijft of zich ergens anders nestelt vanuit een app verkregen uit de Play Store.

Stoelpoot @Craimasjien • 29 augustus 2017 09:45

Dan ga je er van uit dat de app uberhaupt correct stilletjes verwijderd wordt. En dat is dus hetgeen wat ik liever zelf wil bevestigen. Apps kunnen zich verbergen in de appdrawer, dus als de app niet wordt verwijderd vanwege zwarte magie van malware, zit ie er nog steeds gezellig op. Als ik weet dat ik de apps ooit geinstalleerd heb, dan kan ik zelf nog even controleren.

Als de remmen op je fiets zijn gerepareerd bij de fietsenmaker, wacht je ook niet totdat je in een gevaarlijke situatie zit om dat te testen.

[Reactie gewijzigd door Stoelpoot op 23 juli 2024 08:32]

Superkanjo @Stoelpoot • 29 augustus 2017 09:49

Als de app door de Play store is geïnstalleerd kan hij ook door de Play store verwijderd worden. Eventuele update die dit onmogelijk zou maken zou ook via de Play store moeten lopen, dus nee, niet mogelijk.

Stoelpoot @Superkanjo • 29 augustus 2017 09:54

En op een Mac kan je geen virussen krijgen zeker. Malware heeft als doel om beperkingen te omzeilen. Waarom zou je erop vertrouwen dat een externe partij malware bij jou verwijderd als de malware al is gemaakt om de beveiliging van die externe partij te omzeilen? Als je op Windows een virus hebt kan je maar beter je PC herinstalleren omdat je nooit weet of er wat achterblijft, ook al is malwarebescherming op Windows al veel langer ontwikkeld en onderzocht dan op Android, en Google moet zo maar malware perfect kunnen verwijderen zonder sporen achter te laten? Security Through Obscurity != Secure.

mjz2cool @Stoelpoot • 29 augustus 2017 10:41

als bekend is hoe de malware werkt, kan het prima verwijderd worden, ook door een externe partij, en zeker in een sandbox omgeving

[Reactie gewijzigd door mjz2cool op 23 juli 2024 08:32]

mjz2cool @Stoelpoot • 29 augustus 2017 10:39

maar als malware niet verwijderd wil worden, dan zal die zich ergens "verstoppen", dan maakt het verder toch niet uit hoe de app verwijderd wordt? je kunt alleen maar vertrouwen dat zo'n app echt weg is, ookal heb je m zelf verwijderd.

jerheij @Oekol • 29 augustus 2017 09:11

Goed dat er meteen actie is ondernomen en de apps zijn geblokkeerd en gebruikers worden gewaarschuwd maar ik ben toch nieuwsgierig naar welke apps het zijn.

Is er een achterliggende gedachte dat er geen lijst is gepubliceerd? Daar ben ik nu ook wel nieuwsgierig naar.

Verwijderd 29 augustus 2017 08:03

Nou hoop ik vooral dat Google er een methode aan overhoudt om dit soort apps in de toekomst te detecteren. Anders is het binnenkort weer feest.

b4mb03 @Verwijderd • 29 augustus 2017 08:08

Dat hoop ik ook! Apple heeft wat dit betreft veel beter geregeld.. Probleem is dat iedereen makkelijk een eigen app kan plaatsen in de Google play store t.o.z.v. Apple waar elke app gecontroleerd wordt.

DarkBlaze @b4mb03 • 29 augustus 2017 08:14

Apple controleert automatisch, dat doet Google ook. Er zit wel verschil in de controles maar de eerste laag is gewoon een test in een sandboxed omgeving om te kijken wat de app doet.

https://www.android.com/play-protect/

Vexxon @DarkBlaze • 29 augustus 2017 09:25

Toch horen we dit soort berichten veel meer met betrekking tot Android dus het heeft er alle schijn van Apple iets beter doet wat dit betreft.

SacreBleu @Vexxon • 29 augustus 2017 09:31

Of Apple wil dit gewoonweg niet al te vaak rapporteren, omdat vaak veiligheid nog steeds een argument is voor iOS. Hetzelfde geldt voor Mac OS X, die zou ook veilig moeten zijn, maar bij nagenoeg elke Black hat of hackathon werd er vrij snel een exploit gevonden.

JoniVR @SacreBleu • 29 augustus 2017 09:39

Apple controleert gewoon heel streng en persoonlijk je applicatie, dat is het verschil. Ik betwijfel niet dat het daarom extreem veilig is, want no system is safe, maar deze extreme kwaliteitscontrole is wel enorm effectief. Een beetje opzoekwerk en dan zul je merken hoe streng ze zijn op apps.

DarkBlaze @JoniVR • 29 augustus 2017 10:01

Apple controleert helemaal niet alle apps persoonlijk. Alleen als deze getriggerd worden door de automagische test, en dat geld ook voor Google. Er zijn genoeg apps die achteraf pas gepulled werden omdat ze toch een regeltje overtreden hebben.

[Reactie gewijzigd door DarkBlaze op 23 juli 2024 08:32]

BikkelZ @DarkBlaze • 29 augustus 2017 13:25

Dan zal ik wel pech hebben steeds dat ik er uit gepikt word? Alle teksten die ik submit bij een app worden tot op de letter nageplozen, als ik een flits witte content heb in een web applicatie wrapper krijg ik daar commentaar op. Volgens mij zijn dat echt geen dingen die door computers gedaan worden. Laatst weer een half uur aan de telefoon gehangen om dingen uit te leggen hoe mijn licentiestructuur in elkaar zat.

Natuurlijk gaan ze niet álle functies helemaal tot in den treure testen maar er wordt wel degelijk alles zo niet een groot deel van alle apps en updates aan apps ook getest door menselijke testers. En ik denk dat Google meer vertrouwt op algoritmes aangezien dat ook goed genoeg werkt voor zoekresultaten.

[Reactie gewijzigd door BikkelZ op 23 juli 2024 08:32]

DarkBlaze @BikkelZ • 29 augustus 2017 14:02

Ook dat kan gewoon met algoritmes, en ja dan heb je kans dat je geflagged wordt

Als Apple alles echt zo goed na keek was bijvoorbeeld dit https://www.macrumors.com...host-chinese-malware-faq/ niet mogelijk.

BikkelZ @DarkBlaze • 29 augustus 2017 16:42

Je zegt net dat ze niet gecontroleerd worden en nu doe je net of de discussie over iets totaal anders ging.

Android was altijd een beetje een "hier mag alles" speeltuin om ontwikkelaars, providers en ontwikkelaars te paaien en daar betalen de gebruikers voor in de vorm van meer en ernstigere security- en privacy problemen en een kapot updatemodel.

Ondertussen schuift Android meer en meer richting iOS zo snel en zo goed als ze kunnen qua permissies en updatebeleid want die enge restricties die Apple oplegt aan bedrijven leiden wel tot een beter eindresultaat voor de gebruiker.

Waarom is stock Android anders een feature voor een telefoon?

DarkBlaze @BikkelZ • 30 augustus 2017 08:24

Euh waar heb jij het in vredesnaam over? Ik kan niet echt wat met je eerste opmerking volgens mij ben je echt de weg kwijt.

Ik zeg dat ze in eerste instantie getest worden in een sandbox om te kijken wat ze doen en dat dit gedaan wordt door beide kampen. Als hier dan iets verdachts uit komt wordt de app nader bekeken maar Apple heeft echt geen leger aan werknemers die 24/7 alles na zitten te kijken dat zou namelijk helemaal niet uit kunnen en daar reageerde ik dus op.

Dit gaat over Malware, dat heeft niks te maken met jouw mooie witte achtergrond, of je tekstjes daar heb ik het ook totaal niet over.

[Reactie gewijzigd door DarkBlaze op 23 juli 2024 08:32]

Vlizzjeffrey @JoniVR • 29 augustus 2017 10:13

hoe lang blijven mensen nog denken dat apple de heile graal van veiligheid is, in 2012 bleek al dat er jaren backdoors in ios zaten, waardoor de nsa doodleuk elke apple device in konden.

DarkBlaze @Vexxon • 29 augustus 2017 10:10

Daar heb ik het toch helemaal niet over? Ik geef alleen aan dat ze beide tests doen dmv een sandbox en wie wat beter doet laat ik in het midden.

Android is ook veel interessanter kwa target omdat Apple maar een zeer klein marktaandeel heeft.

Weet je nog dat Apple problemen had met een besmette xcode omgeving die rond zwierf in China bijvoorbeeld

Nee beide kampen hebben zo hun problemen.

[Reactie gewijzigd door DarkBlaze op 23 juli 2024 08:32]

BikkelZ @DarkBlaze • 29 augustus 2017 13:27

Nee beide kampen hebben zo hun problemen.

Dat kan kloppen maar Apple zit in de wachtkamer met een snee in zijn vinger en Android mist drie vingers plus een been. En dan stug volhouden dat die meneer met de snee in zijn vingers wel voor mag want dat is ook erg.

DarkBlaze @BikkelZ • 29 augustus 2017 14:04

Mwah dat valt allemaal heul erg mee hoor, als jij +- 80% van de markt bezit dan is de kans dat er wat mis gaat heel wat groter dan als je 20% van de markt hebt. En nee Apple heeft vaak genoeg rommel gehad pak google er maar bij zou ik zeggen dit waren nietszeggende apps bij Apple was het een wechat bv.

BikkelZ @DarkBlaze • 29 augustus 2017 16:21

Apple heeft ongeveer de zelfde hieveelheid apps dus dat verhaal snijdt überhaupt geen hout

DarkBlaze @BikkelZ • 30 augustus 2017 08:17

Waar heb ik het over het aantal apps? Ik geef aan dat juist bij Apple er een aantal echt populaire apps tussen zaten omdat ze in China een geinfecteerde xcode gebruikte.

Ook gaf ik aan dat iOS maar een marktaandeel van 20% had maar ik zat verkeerd dit is eerder 10 tot 15% dus ze zijn eigenlijk nog kleiner dan ik dacht. Als jij moet kiezen tussen 15% van de markt of 85% van de markt waar kies jij dan voor? En als er veel meer mensen zijn, heb je ook eerder een groter aantal besmette apparaten en hoor je hier dus eerder over.

Volgens mij wil jij lezen wat jij wil lezen, je bent echt een broken record zoals de meeste blinde apple fanboys die ik ken. Onmogelijk om een normale discussie mee te hebben want alles wordt verdraaid op zo'n manier dat het wel om Apple moet gaan en hoe geweldig Apple wel niet is

BikkelZ @DarkBlaze • 30 augustus 2017 12:12

Je hebt gelijk, daarom betalen overheden en criminelen ook grif meer voor een 0 day op iOS dan op Android. Omdat het een marginaal slecht beveiligd kutsysteempje is wat helemaal niemand wil hacken.

Je bent nu al een tijd lang zonder enige kennis van zaken aan het antwoorden over de verschillen in het reviewproces tussen de verschillende Appstores. Probeer eerst zelf eens een stuk of tien apps te releasen op beide platforms en probeer daarna eens uit ervaring te spreken.

DarkBlaze @BikkelZ • 30 augustus 2017 12:36

Volgens mij is het andersom, jij hebt duidelijk géén idee wat ik bedoel en je het over hebt en loopt nog steeds mijn antwoorden te verdraaien om vooral te kunnen zeggen, kijk apple is wel zo geweldig die hebben nergens last van.

PS: Overheden betalen niet voor iOS 0 days die zoeken ze zelf wel op en daar zijn erg genoeg van. nieuws: 'CIA gebruikt zero-days in Windows, Android, iOS en Samsung-tv's voor...

PPS: Ik ben bezig met App nummer 4, zal je laten weten hoe het gaat

Vexxon @DarkBlaze • 29 augustus 2017 12:02

Het was meer een constatering van mijn kant niet om jou terecht te wijzen o.i.d. Ik probeer ook helemaal niets te verdedigen of een ander platform hier beter uit te laten komen.

Dat ze beide tests doen is duidelijk, maar gezien de grotere hoeveelheid van dergelijke meldingen op Android zal er toch een verschil zijn. iOS is natuurlijk veel meer dichtgetimmerd dan Android (lees: de gebruiker wordt meer beperkt in mogelijkheden) en dat is al een belangrijk verschil.
Volgens mij is het ook wel algemeen bekend dat Apple een iets strenger beleid voert op dit gebied, qua controle van apps.

Android is ook veel interessanter kwa target omdat Apple maar een zeer klein marktaandeel heeft.

Het grappige is dat dit argument ook altijd werd gebruikt als het ging om dit soort problemen op Windows in vergelijking met Mac OS, maar het door Apple-adepten altijd van de hand werd gewezen.
Maar uiteraard is het zeker een valide punt.

mjz2cool @Vexxon • 29 augustus 2017 10:48

er is ook wel een verschil in het aantal gebruikers natuurlijk.
en dan heb je ook nog verouderde android versies die nog veel gebruikt worden.

Auredium @DarkBlaze • 29 augustus 2017 08:20

Het is best wel interessant hoe sommige malware werkt. Er was een uitbundige bespreking hiervan in Security Now een aantal weken (maanden?) terug gebaseerd op een onderzoekartikel. Sommige malware test zelfs of ze in een sandbox draaien en passen hun gedrag aan. Ik meen mij te herinneren dat ze dit onder andere doen door te linken naar niet bestaande websites; sandbox processen antwoorden dan vaak wel omdat ze zo geprogrammeerd zijn en de malware doet dan als gevolg zichzelf niet activeren. Let wel op dat dit wat anders is dan het website gebeuren van Wannacry, dat was een killswitch niet een sandbox tester.

@Blokker_1999 - Die methode werd ook genoemd inderdaad. Ik reageerde even op het sandbox voorbeeld van Darkblaze. Het is overigens een goed voorbeeld van de wapenwedloop tussen malware ontwikkelaars en onderzoekers.

[Reactie gewijzigd door Auredium op 23 juli 2024 08:32]

pietje63 @Auredium • 29 augustus 2017 08:59

Let wel op dat dit wat anders is dan het website gebeuren van Wannacry, dat was een killswitch niet een sandbox tester.

In Wannacry was het waarschijnljik bedoeld als sandbox test, maar werkte het uit als killswitch. https://www.darkreading.c...asion-tool/d/d-id/1328892

Blokker_1999

Netwerk en systeembeheer
Google
Security

@pietje63 • 29 augustus 2017 15:22

Ja, komt op hetzelfde neer. In een sandbox wil je de werking stoppen om analyse te bemoeilijken. Enige fout die gemaakt werd was dat er statische adressen werden geprobeerd ipv deze dynamisch te genereren.

Blokker_1999

Netwerk en systeembeheer
Google
Security

@Auredium • 29 augustus 2017 08:29

Maar op die DNS is vanuit je testomgeving weer op te maken dat de app aan sandboxdetectie doet en ga je deze alsnog weren. Beter is bijv adhv timeservers bepalen hoe lang je geinstalleerd bent en de eerste weken gewoon niets doen.

CivLord

@Blokker_1999 • 29 augustus 2017 13:51

Er zijn 101 redenen waarom een app verbinding met de buitenwereld zou willen hebben. Al is het alleen maar om te checken of er een nieuwe versie van de app beschikbaar is.

Blokker_1999

Netwerk en systeembeheer
Google
Security

@CivLord • 29 augustus 2017 15:22

Natuurlijk, maar malware kan nagaan of het in een sandbox werkt door een willekeurig domeinnaam te pollen en na te gaan of dit geresolved wordt. In een sandbox zal dat bijna altijd het geval zijn. Op zo een moment zal de malware niet verder werken omdat deze een sandbox gedetecteerd heeft. Het feit dat software dus een niet bestaand domein probeerd te bereiken maakt software dus in 1 keer verdacht, maar stelt de software wel in staat om de verdere werking van de software stop te zetten.

CivLord

@Blokker_1999 • 29 augustus 2017 15:30

Ik weet hoe het werkt, maar het pollen van een domeinnaam betekent niet per definitie dat dat onderdeel is van een sandbox detectie door een kwaadaardige app.
Daar kun je pas wat over zeggen wanneer je de domeinnaam ook zelf pollt en beoordeelt.

Verwijderd @CivLord • 29 augustus 2017 15:54

Dat gaat toch gewoon via de App Store/Play Store? Waarom moet een app daar zelf nog op controleren? Wanneer een app zichzelf kan updaten (effectief verwijderen/installeren), heb je het veel te veel rechten gegeven.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:32]

CivLord

@Verwijderd • 29 augustus 2017 16:09

Ik heb een VPN-app die zelf waarschuwt wanneer er een nieuwe versie beschikbaar is. Het updaten zelf vindt uiteraard via de Play Store plaats. Maar dit was slechts een voorbeeld van een normale reden waarom een app een externe server zou pingen.

84hannes @b4mb03 • 29 augustus 2017 08:13

Apple waar elke app gecontroleerd wordt.

Ik weet dat Apple beweert alle apps te controleren, maar het is mij volslagen onduidelijk wat ze controleren. Als ik zo'n malafide app klus zou ik niet de source code meeleveren aan Apple en zorgen dat het dubieuze gedrag zich niet manifesteert tijdens de controle bij Apple, bijvoorbeeld door eerst te checken of de app al in de App Store staat, of door de eerste maanden netjes gedrag te vertonen, door de aanvallen op afstand te initieren etc. Alleen een onrealistisch grondige analyse van de assembly code kan zoiets aan het licht brengen volgens mij.

JoniVR @84hannes • 29 augustus 2017 09:34

Volgens mij controleert Apple wel de source code, en men controleert heel streng, trust me on that one. Apps worden heel snel gereject. Vaak lukt het pas om na enkele rejections je app op de store te krijgen. En het is niet een automatisch process, afhankelijk van welke reviewer je hebt heb je al dan niet meer geluk.

Zie: https://developer.apple.com/app-store/review/guidelines/

[Reactie gewijzigd door JoniVR op 23 juli 2024 08:32]

Zer0 @JoniVR • 29 augustus 2017 09:55

Blijkbaar niet streng genoeg:
nieuws: Apple dreigde Uber-app uit App Store te verwijderen wegens strijd pri...
nieuws: Kwaadwillenden plaatsten malware in App Store voor iOS
nieuws: App Store bevatte tientallen geïnfecteerde apps door Xcode-malware
nieuws: Onderzoeker plaatst malware in App Store
nieuws: Kaspersky treft eerste malware in App Store aan

Vlizzjeffrey @JoniVR • 29 augustus 2017 10:09

dat ze controleren betekend niet dat we geen door komen, zit genoeg malware in de appstore.

84hannes @JoniVR • 29 augustus 2017 15:21

Volgens mij controleert Apple wel de source code

Ik heb nog even online gezocht, maar volgens mij submit je een app bij Apple zonder sourecode

men controleert heel streng, trust me on that one. Apps worden heel snel gereject.

Dat ze vaak iets niet goedkeuren betekent dat ze een streng beleid hebben, niet persé een goed beleid. Het kan heel goed dat ze over insignificante dingetjes moeilijk doen.

gjmi @b4mb03 • 29 augustus 2017 08:21

Ook bij Apple kan dit voorkomen. Er zijn zat manieren om dit soort functionaliteit te verbergen en slapende te houden en onder bepaalde omstandigheden actief te laten worden.
Het is onmogelijk om daarop te controleren.

himlims_ @Verwijderd • 29 augustus 2017 08:26

Als er 1 ding is wat al die genoemde apps gemeen hebben: bieden basis functies aan, die eigenlijk standaard in Android hadden moeten zitten. Dat verklaard mogelijk ook waarom ze actief gebruikt worden

Superkanjo @himlims_ • 29 augustus 2017 09:30

Welke apps zijn er genoemd? Welke functies die niet standaard in Android zitten?

watercoolertje

Google
Google Android

@Superkanjo • 29 augustus 2017 10:27

En waar haalt ie vandaan dat ze actief gebruikt worden?

Enig wat ik kan vinden is dat er 160.000 unieke IP's waren op 1.500.000.000 mensen die Android draaien (icm play store, zonder zijn dat er nog wat meer).

Frenziefrenz @Superkanjo • 29 augustus 2017 10:40

Uit de eerste link van het artikel:

This app, along with the others we tested, used innocuous-sounding names like “Device Analysis”, “Data Storage” “Package Manager”, and so forth.

Maar 't is mij niet direct duidelijk wat die dan te bieden zouden hebben.

arnovos 29 augustus 2017 08:10

Heeft Google de apps ook verwijderd van de telefoons van gebruikers? In 2010 gebeurde dat wel, toen met een proof of concept botnet voor Android.

Oekol @arnovos • 29 augustus 2017 08:21

Notably, it is no longer possible to install this application as Google’s PlayProtect feature now blocks this app from being installed. Google is also removing it from devices that already have it installed. All of the applications we tested that were part of this campaign produced this block message; disabling PlayProtect was necessary to run the malware.

Dit staat in de link, dus ja ! Misschien kan dit in het bericht hierboven opgenomen worden zodat het voor iedereen duidelijk is?

Oekol 29 augustus 2017 08:11

Is het niet belangrijk voor ons om te weten welke apps het zijn? Wanneer ze uit de playstore verwijderd zijn worden ze niet automatisch verwijderd van ons mobiele telefoon toch?

Wel dus:
Notably, it is no longer possible to install this application as Google’s PlayProtect feature now blocks this app from being installed. Google is also removing it from devices that already have it installed. All of the applications we tested that were part of this campaign produced this block message; disabling PlayProtect was necessary to run the malware.

Goeie zaak!

[Reactie gewijzigd door Oekol op 23 juli 2024 08:32]

Fly-guy

@Oekol • 29 augustus 2017 08:15

Of dat in dit geval gebeurd is, weet ik niet, maar het kan wel gedaan worden. Paar jaar terug bijvoorbeeld.

Oekol @Fly-guy • 29 augustus 2017 08:22

In de eerste link van de resultaten van 't onderzoek komt die quote uit. Dus dat hebben ze netjes opgelost

Verwijderd @Oekol • 29 augustus 2017 09:45

Alleen als deze optie aan hebt staan in de Google Play Services. Standaard staat dat aan.

mjz2cool 29 augustus 2017 10:50

krijg je ook een melding dat een app verwijderd is? anders weet je nog niet waarom je ineens een app mist, die misschien al een paar dagen weg is

Op dit item kan niet meer gereageerd worden.

Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet

Lees meer

IT-banen

Reacties (99)

Sorteer op:

Weergave: