Zscaler: 77 Google Play Store-apps zorgden voor 19 miljoen malwaredownloads

Gebruikers van Googles appstore voor Android hebben 19 miljoen malwaredownloads gekregen door 77 apps in de Play Store. Dit meldt securitybedrijf Zscaler na onderzoek. De 77 ontdekte apps deden zich voor als handige hulpmiddelen voor onder meer personalisatie van Android.

Kwaadaardige apps in de Google Play Store hebben gezorgd voor 19 miljoen malwaredownloads bij Android-gebruikers. Dat gebeurde door 77 apps die zich in de officiële appwinkel voor Android voordoen als handige hulpprogramma's, documentlezers en hulpmiddelen voor personalisatie van Android-toestellen. Dit meldt het ThreatLabz-team van Zscaler na onderzoek. Het securitybedrijf heeft de bevindingen gemeld bij Google.

De 77 misleidende apps zijn voorzien van de Android-malware Anatsa. Deze bankingtrojan bestaat sinds 2020 en is uitgebreid geanalyseerd door diverse securitybedrijven. Anatsa, ook wel bekend onder de naam TeaBot, kan inloggegevens stelen, toetsenbordinvoer opvangen en frauduleuze transacties uitvoeren.

Anatsa gebruikt een droppertechniek waarbij de legitiem ogende app na installatie op een Android-toestel de daadwerkelijke kwaadaardige code downloadt. Dit gebeurt als schijnbare appupdate en wordt dan binnengehaald vanaf een externe server van de kwaadwillenden. De nu onthulde aanvallen, waarbij 19 miljoen keer malwarenaar Android-apparaten is gedownload, zetten verschillende geavanceerde technieken in om detectie door de Google Play Store te omzeilen. Daarbij gebruiken de aanvallers tools om hun code te verbergen, te vermommen, te versleutelen en te verpakken in schijnbaar corrupte bestandsarchieven.

De nieuwste uitvoering van Anatsa is gemaakt om hackaanvallen uit te voeren op klanten van in totaal 831 financiële instellingen en cryptovalutaplatforms wereldwijd. Dat aantal is flink meer dan de ruim 650 financiële instellingen waar voorgaande Anatsa-hackcampagnes op gericht waren, meldt Zscaler. Deze aanvallen zijn uitgevoerd in onder meer Europa, het Verenigd Koninkrijk en de Verenigde Staten. Google stelt in een reactie aan The Register dat het gebruikers al beschermde tegen deze Anatsa-infecties voordat het ThreatLabz-team van Zscaler zijn ontdekkingen openbaar maakte.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 26-08-2025 11:32 55

26-08-2025 • 11:32

55

Lees meer

Google verplicht appmakers buiten Play Store vanaf 2026 tot identiteitscheck
Google verplicht appmakers buiten Play Store vanaf 2026 tot identiteitscheck Nieuws van 26 augustus 2025
Google past Play Store-regels voor appmakers aan onder druk van de EU
Google past Play Store-regels voor appmakers aan onder druk van de EU Nieuws van 20 augustus 2025
Google verliest hoger beroep tegen Epic en moet Play Store openstellen
Google verliest hoger beroep tegen Epic en moet Play Store openstellen Nieuws van 1 augustus 2025
Bedrijfsnieuws Marktontwikkelingen E-commerce Politiek en recht Google Android Apps Malware Security Zscaler

Reacties (55)

-Moderatie-faq
55
54
21
3
0
23
Wijzig sortering
Olympus user 26 augustus 2025 11:43
Binnen de app store dus zelf niet hun zaken op orde, maar anderen wel aan banden willen leggen.

nieuws: Google verplicht appmakers buiten Play Store vanaf 2026 tot identiteitscheck
Reageer
Currry @Olympus user26 augustus 2025 12:23
Wat een dooddoener. Iedereen maakt weleens een foutje in het leven, mogen we andere daar dan ook nooit meer aanspreken? Als je hypocrisie wil vinden dan vind je die overal wel. Hoewel dit prima rijmt met elkaar. Ze proberen dit juist zoveel mogelijk te voorkomen, dan is dat toch prima. 100% Veiligheid is toch onmogelijk in de IT voor een dergelijke dienst, dan maar alle maatregelen overboord?
Reageer
Jan1337 @Currry26 augustus 2025 12:44
Nee, in dit geval mag Google niet geëxcuseerd worden hiervoor. Zoals de link uit bovenstaand artikel vermeld, gaat het om kopieën van populaire apps. Hoe moet een gebruiker weten dat hij/zij 'VLC for Android' moet downloaden en niet de geïnfecteerde 'VLC Media Player'? Op de desktop heet het programma nota bene zo! Maar bij Google, het machtigste softwarebedrijf ter wereld, is er blijkbaar niemand die een script in elkaar zet om zulke malafide nep-apps er op een fatsoenlijke manier uit te filteren. 'Kaspersky: Free Antivirus' versus 'Kaspersky Antivirus: Security, Virus Cleaner', met praktische hetzelfde icoontje. Als de beheerder van een app-store het niet lukt om de boel schoon te houden, dan kan je dat van de gemiddelde gebruiker al helemaal niet verwachten.
Reageer
Scriptkid @Jan133726 augustus 2025 13:24
Het probleem is dat de nep app niet malafide is in de Google store dus ze zien het niet.

De malafide code wordt pas later van externe servers gedownload
Reageer
SVMartin @Scriptkid26 augustus 2025 13:45
Kan Google nu echt hier geen oplossing voor vinden? Blijkbaar is het goedkoper om met de kraan open te blijven dweilen en malafide apps achteraf te verwijderen uit de store?
Reageer
wiseger
@SVMartin26 augustus 2025 13:54
Het is mogelijk om geen loads van buiten de store toe te staan en daar op te controleren. Maar dan moet side-loading dicht gezet worden. En dat mag niet van de EU.
Reageer
cdwave @wiseger26 augustus 2025 14:54
Nou, daar zijn ze al mee bezig. Ik hoor mijn vrouw regelmatig mopperen dat 't zo'n gedoe is om je Apple app bijgewerkt te krijgen, een weken durend proces omdat je allerlei rare dingen moet doen als screenshots sturen van diverse Apple apparaten (die je dan maar zelf moet regelen). Straks wordt het voor individuele ontwikkelaars gewoon niet meer haalbaar om nog een (open source) app in de store te krijgen. Dus nog meer macht voor de grote bedrijven die geld willen persen uit elke app.
Reageer
wiseger
@cdwave26 augustus 2025 16:14
Elders staat er een heel artikel op Tweakers hoe 18 miljoen Google gebruikers spyware op hun telefoon kregen doordat een malafide app uit de Play Store via side-loaden de malware binnen haalde.

Dus dat Apple toezicht erop houdt, dat snap ik dan weer wel.
Reageer
Wouterie @Scriptkid26 augustus 2025 15:10
Waarom kan Google die malafide code dan niet onderscheppen? Een beetje anti-malware oplossing kan dit doorgaans wel oppikken. Ze weten toch al wat je allemaal uitspookt op je telefoon... Al die data inzetten om malware te onderscheppen is blijkbaar teveel gevraagd? ;)
Reageer
EnigmA-X @Wouterie26 augustus 2025 16:01
Een voorbeeld.

Malafide code wordt opgehaald van server.com/updates/update.apk (dat staat in de app-code).

Als je dat checkt, krijg je gewoon een update, of een melding dat er geen update is. Als de app het doet, wordt er een signature of hash mee verzonden en dan krijg je ineens wel de malware aangeboden door de server. Of op basis van de hoeveelheid requests afkomstig van dezelfde identifier. Of op basis van geo-ip waarvan makers weten dat er geen tests worden uitgevoerd, of of of. Eindeloze combinaties vormen hier het issue.
Reageer
Wouterie @EnigmA-X26 augustus 2025 16:24
Toch wordt er op enig moment code uitgevoerd op het apparaat die eerst gedownload wordt vanuit de app. Noem het verdachte activiteiten o.i.d. maar Google heeft genoeg tracking in Android zitten om redelijk door te hebben wat er op die apparaten gebeurd. (Aanname van mijn kant) Zeker als je het hebt over Anatsa wat toch al een oude bekende is. Of Necro, die ook al een jaartje rondgaat in een nieuwe variant...

Maar goed, misschien denk ik te simpel.
Reageer
Tintel
@Scriptkid26 augustus 2025 16:34
Dat klopt dan wel maar ondertussen beweert Google dat het veilig is.... terwijl dit een vrij eenvoudige truc is natuurlijk....

Controleren of de code goed/fout is na de update is net zo belangrijk natuurlijk.... Diezelfde update zou ook uit de app-store moeten komen trouwens....
Reageer
Scriptkid @Tintel26 augustus 2025 18:11
Ja maar die ga je als aanvaller niet aanbieden aan de store natuurlijk.


Net als games ook vaak updaten via hun eigen launcher.
Reageer
supersnathan94
@Jan133726 augustus 2025 13:28
Op de desktop heet het programma nota bene zo!
Waarom heeft de uitgever dan niet dezelfde naam gebruikt?

Magtie zelf natuurlijk weten he, maar is ook wel vragen om copycats. Neem toch aan dat je op je trademark gaat zitten. Dit is voor VLC ook een probleem.
Maar bij Google, het machtigste softwarebedrijf ter wereld, is er blijkbaar niemand die een script in elkaar zet om zulke malafide nep-apps er op een fatsoenlijke manier uit te filteren.
raar he? Dit is al jaren een ding. Eigenlijk altijd al geweest. Snap niet zo goed dat er niet een AI botje op is gezet ondertussen.
"als er een nieuwe app wordt ingediend die in alles lijkt op een app die al bestaat, maar met een andere uitgever, laat het dan even weten oke?"
Klinkt als eenvoudig dingetje om je proces te zetten ondertussen.

Geldt voor Apple net zo, mag zeker een stuk strakker.
Reageer
cdwave @Jan133726 augustus 2025 14:59
Het is al ronduit belachelijk dat je iets standaards als VLC in een app-store moet gaan zoeken.

Eigenlijk zou je willen dat je telefoon nagenoeg leeg uit de fabriek komt, en dat je dan uit een trusted set van standaard open source applicaties kunt kiezen wat je erop wil zetten als media-speler en bestandbeheer enzo, in plaats van de onwisbare spyware meuk die de chinese fabrikant er al op voorinstalleert.
Reageer
carlpls @Currry26 augustus 2025 12:52
Het gaat erom dat de maatregelen proportioneel zijn, in dit geval tegenover de vrijheden van eindgebruikers om te installeren wat zij willen.

Het is inderdaad een beetje een dooddoener, maar het in het verlengde daarvan is het hele argument 'het staat in de Play Store van Google, Google heeft haar zegen afgegeven, dus het is veilig™" ook een dooddoener, want het is pure marketingbullshit die nooit waargemaakt kan worden.

Onder de streep is het probleem (IMO) dat niemand verantwoordelijkheden wil nemen en alle vormen van risico's linksom of rechtsom 'onklaar' gemaakt moeten worden, de klassieke Cover Your Ass (CYA). Bedrijven beginnen hiermee met certificeringen halen zodat zij in hun marketing een logo hebben om mee te schermen en verantwoording kunnen afschuiven als er dingen op een gegeven moment misgaan, "ja maar wij hebben niks fout gedaan, want kijk wij hadden dit papiertje". Dit sijpelt vervolgens door naar alle hoeken van de samenleving, door leveranciers van deze bedrijven verplichtingen op te leggen als er iets misgaat/te eisen dat zij aan bepaalde standaarden voldoen. En die leveranciers proberen dit vervolgens weer af te dwingen/waar te maken door gebruik te maken van platformen/andere leveranciers die garanties (maar toch niet echt) af te geven over de veiligheid (bijvoorbeeld dat een platform als iOS of Android veilig is, omdat alle apps uit een store komen die gescanned zijn door Play Protect™).

Het netto-resultaat is dat er onder de streep relatief weinig 'echte' veiligheid komt, de vrijheden van de gebruikers van dit soort platform volledig ondermijnd worden en dit soort platformen prachtige opties bieden voor het afdwingen van wetgeving die Onze Kinderen Veilig Houden en Terroristen Buiten De Deur Houden.


Ik weet niet precies waar ik heen wilde met deze reactie, vat het niet persoonlijk op, maar je reactie triggerde iets; boos op de wereld. Misschien is het tijd voor een wandeling. :)
Reageer
Olympus user @Currry26 augustus 2025 14:26
Googel sluit steeds meer af en alles moet volgens hun lopen zogenaamd onder het mom van veiligheid, maar als je eigen winkel lek is heb je geen recht van spreken.
Reageer
ruud82 26 augustus 2025 11:44
Met het verschil dat 99% van de mensen waarschijnlijk de App Store blijven gebruiken. Ik zie dat een beetje als de APK files bij android, hoeveel mensen doen dat nu echt? Alleen wat tweakers, reguliere consumenten niet, die blijven vertrouwd de App Store gebruiken.

Verschil hier is dat deze apps gewoon via de reguliere playstore te installeren waren, mensen wanen zich veilig maar zijn dat minder.

Deze moest eigenlijk onder de opmerking van de reactie van Neus

[Reactie gewijzigd door ruud82 op 26 augustus 2025 11:54]

Reageer
Pokemoneuro 26 augustus 2025 11:47
Nou dit is een probleem dat Google moet aanpakken. Als iemand via hun store malware krijgt, terwijl Google zegt dat alles veilig is, dan is dat deels Google's schuld. De gebruiker ging met redelijk vertrouwen de Play Store in, downloadde een app waarvan Google zei dat het veilig is, en toen kreeg de gebruiker daar malware van.

Als iemand echter custom software op zijn eigen telefoon installeert buiten de Play Store om, dat is een heel ander verhaal en dan is het de verantwoordelijkheid van de gebruiker om zelf de veiligheid van de software te verifiëren.
Reageer
telenut @Pokemoneuro26 augustus 2025 11:57
We hebben nu hetzelfde voor met de Microsoft Store...
Reageer
supersnathan94
@telenut26 augustus 2025 13:31
gebruikt men die dan?

Ik vind em voor sommige dingen wel handig (whatsapp met auto-update is echt een verademing), maar heb nou niet het idee dat het gebruik weidverspreid is.
Reageer
telenut @supersnathan9426 augustus 2025 17:21
ik dacht het... maar blijkbaar is de malware toch op andere manier op pc's gekomen... Oorzaak nog niet gevonden.
Reageer
Wouterie @telenut26 augustus 2025 15:15
Maar wel met het verschil dat Windows een anti-malware oplossing aan boord heeft. Android heeft... niets.
Reageer
AnonymousGerbil 26 augustus 2025 11:51
Naar mijn mening is de grote meerderheid van de apps in de play store tegenwoordig kwaadaardig. Alleen mag dat wel, want google verdient er aan.

Ook de play store zelf, overigens.

Zelf haal ik er in ieder geval enkel het strikt noodzakelijke en heb ik voor de rest van de applicaties die ik gebruik f-droid.

[Reactie gewijzigd door AnonymousGerbil op 26 augustus 2025 11:55]

Reageer
Polderviking 26 augustus 2025 11:52
Op zich mooi, kan dat hele security argument voor alleenrechten op appwinkels op platformen bij het grof vuil.
Reageer
thomasv 26 augustus 2025 11:55
Naar mijn ervaring met ZScaler vraag ik mij af wanneer ze hun eigen software dan eens als Spyware gaan bestempelen gelet op hun MITM certificates op elke netwerk adapter van een corpo Windows installatie.
Reageer
rjberg 26 augustus 2025 11:57
Een groot deel van het probleem vindt ik het zoeksysteem van de Play Store.

Ik zocht ooit op een afstandbedieningsapp voor de LG tv, het bovenste resultaat was niet een officiele LG app, maar een third party app vol advertenties en rotzooi die ik niet nodig had. Het leek destijds officieel genoeg om te downloaden.

Waarom ik niet gewoon makkelijk op bedrijf kan filteren of andere catagorieen of tags is mij een raadsel.
Reageer
JJ Le Funk @rjberg26 augustus 2025 12:33
Omdat de 1e positie in zoekresultaat de duurste keywords zijn.
Reageer
iAR @JJ Le Funk26 augustus 2025 13:11
En zolang 'monetize everything' geldt, staan daar dus ook de meest obscure apps die veel geld opleveren en dat kunnen betalen. Zo is google.com ook al een vreselijke zoekmachine geworden.
Reageer
AnonymousGerbil @rjberg26 augustus 2025 14:37
Waarom ik niet gewoon makkelijk op bedrijf kan filteren of andere catagorieen of tags is mij een raadsel.
Je hebt zelf het antwoord al gegeven: je was langer in de play store en had bovendien eerst een app downgeload die meer advertenties en rotzooi bevatte. Win-win voor google en de ontwikkelaar van die app. Dat jij er niks aan had was duidelijk niet relevant in deze.

Pro-tip: benader voor dergelijke apps de pagina op de play store exclusief via de officiele website van de fabrikant. Pak bovendien bij voorkeur een weblink uit de meegeleverde documentatie, want de resultaten van internetzoekmachines kunnen tegenwoordig ook bijzonder zijn.

[Reactie gewijzigd door AnonymousGerbil op 26 augustus 2025 14:37]

Reageer
CAPSLOCK2000
26 augustus 2025 12:11
De 77 ontdekte apps deden zich voor als handige hulpmiddelen voor onder meer personalisatie van Android.
77 maar? De meeste apps in de appstore (zeker de gratis apps) doen zich voor als handig hulpmiddel maar zitten ondertussen wel vol met trackers, reclame en andere malware.

Oh? Mag ik dat geen malware noemen? Toch niet omdat Google lekker verdient aan gebruikers tracken en analyseren? Het is software die iets doet wat ik niet wil, dus is het malware.
Reageer
Settler11 @CAPSLOCK200026 augustus 2025 12:23
77 van de hoeveel apps? Zo op het eerste gezicht staat dat er niet bij? Misschien waren het er 78. ;)
Reageer
AvK 26 augustus 2025 12:28
Is er een overzicht / lijstje met de betreffende foute apps?
Reageer
G.Shumway @AvK26 augustus 2025 17:20
Dát zou ik ook wel willen weten.
Reageer
BounceMeister 26 augustus 2025 12:41
Waar vind ik een lijst met betreffende apps en hoe test ik mijn mobiel of deze geinfecteerd is?
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq