Kaspersky treft eerste malware in App Store aan

Door Joost Schellevis, vrijdag 6 juli 2012 08:20, 141 reacties • Feedback

Kaspersky heeft malware gevonden in de App Store en de Google Play Store. Het is de eerste keer dat malware in het wild wordt aangetroffen in de App Store. De trojan stuurt sms'jes naar alle contactpersonen van een gebruiker die de app installeert.

De applicatie draagt de naam 'Find and Call', schrijft Kaspersky. De malware is gericht op Russische gebruikers en doet zich voor als legitieme voip-software. Na installatie uploadt de trojan het telefoonboek van de gebruiker naar een externe server. Vanaf die server worden, met als afzender de getroffen gebruiker, alle contactpersonen ge-sms't met een link naar de applicatie.

Of de malware verder nog iets doet of enkel contactpersonen spamt, is onduidelijk. Volgens Kaspersky is het de eerste keer dat in de App Store in het wild malware wordt aangetroffen, al slaagde een beveiligingsonderzoeker er in november nog in om kwaadaardige code in de App Store te plaatsen. De controle op applicaties in de App Store is veel strenger dan die in Googles Play Store.

Overigens heeft een Russisch weblog contact gehad met een van de auteurs van de malware, die volhoudt dat het niet om kwaadwaardige software gaat. Het zou om een bug gaan waardoor spontaan sms-berichten naar alle contactpersonen werden gestuurd.

Het is niet ongebruikelijk dat applicaties adresboeken van contactpersonen ongevraagd uploaden. Onder meer Facebook, Twitter en Path werden eerder dit jaar aangeklaagd omdat hun mobiele apps dit deden, al werden die apps niet uit de stores verwijderd. Inmiddels is de 'Find and Call'-applicatie echter wel verdwenen uit beide applicatiewinkels, wat erop kan wijzen dat het daadwerkelijk om malware gaat.

Reacties (141)

Basneeleman
6 juli 2012 08:51

Volgens mij gaat dat sms'en helemaal buiten de app om. Dat een app zomaar je contact personen upload is natuur niet juist maar gebeurt vaker.
Wat er vervolgens met die gegeven gebeurt is iets wat Apple van te voor ook niet had kunnen zien.

+2 remcob87
6 juli 2012 10:39

Sorry hoor maar is deze app malware?

Overigens heeft een Russisch weblog contact gehad met een van de auteurs van de malware, die volhoudt dat het niet om kwaadwaardige software gaat. Het zou om een bug gaan waardoor spontaan sms-berichten naar alle contactpersonen werden gestuurd.

Lijkt mij als het echt kwaadaardig was, dat zo'n persoon niet gaat reageren.

Bovendien, hoe had Apple dit kunnen voorkomen? Zij kunnen niet weten wat er op die server gebeurd. En ja, het is vervelend dat je gesmsed wordt door zo'n bedrijf, maar het kost je tenminste geen geld als gebruiker zijnde (het gebeurd vanaf de server). Dit is wel wat anders dan bepaalde android malware die dit wel kan doen....

Hoe is dit anders dan Whatsapp, skype, path, facebook, die ook je adresboek gebruiken? Daar kan achter de schermen ook heel wat met die data gebeuren.

Ik snap voor Kaspersky wel dat ze dit zo naar buiten brengen: gratis reclame op elke website

[Reactie gewijzigd door remcob87 op 6 juli 2012 13:57]

+2 81606
6 juli 2012 14:56

Hier de statistieken die ik lees:

2011: market share Google = 46,9%
2011: market share Apple = 28,7%

2011: Android = 13296 malwares.
2011: Apple = 0 malwares.

bron: http://www.juniper.net/us...mobile-threats-report.pdf

Met de 1e malware voor IOS tot nu toe kun je toch alleen concluderen dat Apple dit veel beter doet dan de concurrentie.

0 laadmin
@81606 • 6 juli 2012 20:12

En als je je voor Android nou ook alleen beperkt tot de Google Play store? Hoeveel malware tel je dan?

ronaldmathies
6 juli 2012 08:26

Moest natuurlijk een keer gebeuren, aardige is wel dat het pas de eerste keer is in het 5 jarige bestaan van de App Store. Kan me ook niet voorstellen dat dit nooit zou gebeuren, maar toch knap dat ze met hun review methode dit dus al 5 jaar weten tegen te houden.

Ben er dan ook niet echt bang voor dat dit vaak gaat voorkomen, zeker niet gezien de hoeveel heid apps die erin staan en hoeveel apps al niet zijn ge-update (elke keer gebeurt een review).

Het heeft er ook niet lang in gestaan, pas sinds 15 Juni dus in totaal zo'n 20 dagen. Nogsteeds te lang natuurlijk.

Sowiezo is dit met iOS 6 als een stuk lastiger want de security op het gebied van adressen boek, foto's e.d. gaan verder omhoog. De gebruiker krijgt nu beter waarschuwingen als er tijdens het gebruik van de App om deze gegevens gevraagt gaat worden.

Meer informatie over de extra security die is toegevoegd:

http://www.macrumors.com/...s-personal-data-in-ios-6/

Als ik dit vergelijk met de potentiele kans op Malware op Android wat inmiddels is opgelopen tot 20.000 stuks:

http://www.information-ag...is-year-trend-micro.thtml

Per drie maanden komen er schijnbaar 5000 van dit soort Apps bij.

[Reactie gewijzigd door ronaldmathies op 6 juli 2012 08:30]

+2 Denskie
@ronaldmathies • 6 juli 2012 08:33

het is de eerst keer in 5 jaar dat dit openbaar gemaakt word

er zijn wel vaker apps geweest die niet helemaal zuiver waren hoor, alleen waren die altijd snel verwijderd.

met android kun je dat niet vergelijken. Bij android kun je gewoon een apk downloaden van een website en installeren. Iets wat bij apple niet eens kan.
Als gewone gebruikers dat gaan doen dan gaat het mis inderdaad, maar dat kan alleen als je er uitdrukkelijk in de instellingen van de app store toegang voor geeft. dan kom je dus bij de gebruikersdie niet lezen en maar doen

daarbij is het prima dat google dit gewoon openbaar maakt. zo kunnen we het bestrijden ipv het te verzwijgen totdat er 600000 gebruikers besmet zijn...

ronaldmathies
@Denskie • 6 juli 2012 08:41

Je kan het opzich prima vergelijken met Android want hoevaak is het al niet in de Play (Market) store voorgekomen?

Als ik zoek dan kom ik al 1 bericht tegen die het heeft over 13 ge-identificeerde apps:

http://www.pc-active.nl/i...joen-keer-gedownload.html

+1 Denskie
@ronaldmathies • 6 juli 2012 08:44

dit staat dan gewoon bij de rechten die een app vraagt.
dan is het aan jou of je dit accepteerd of niet.

dat bedoel ik met de mensen die niet lezen.
als een foto app toegang vraagt tot je sim kaart moet je die gewoon weigeren, niet toch installeren...

Zelalas
@Denskie • 6 juli 2012 09:11

Het probleem is dat mensen gewoon klakkeloos op 'Accept' drukken. Dit is an sich niets nieuws (Gebruikersvoorwaarden, iemand?).

Een uitgebreide screening zou fijner zijn voor de Play Store: "Waarom wilt u de Contact personen weten voor uw Camera App?"

Verder verbaasd het me dat het zo lang duurde.
Je zou het namelijk nog simpeler kunnen doen door een website te hosten en vervolgens simpele WebView app te maken dioe deze ophaalt. Vervolgens implementeer je de JS interfaces voor de Webviews en nadat je door de screening komt vervang je de website welke de interfaces aanroept en alles lekker doorstuurt.
(Mensen klikken toch vaak gewoon op Accept....)

Apple JS Interface:
https://developer.apple.c...s/ObjCFromJavaScript.html

Android JS interface:
http://developer.android....ew.html#BindingJavaScript

0 ppl

Apple
Beveiliging
Apple iOS

@Zelalas • 6 juli 2012 12:58

Dat soort vragen stelt het RIPE NCC ook altijd als je een bepaalde hoeveelheid IPv4 adressen wil hebben. En wat doe je dan? Juist, hetzelfde als wat iedereen deed toen je bij AH nog de groeten & fruit zelf moest afwegen (eerst afwegen, daarna verder vullen). M.a.w. leuk die vragenlijst maar echt veel zal het niet bijdragen omdat je daar op kunt antwoorden wat de reviewer zou willen horen. Als je wilt dat het daadwerkelijk zin heeft dan moet je nadien controleren dat men het ook echt gebruikt voor hetgeen dat ze je hebben verteld. Die controle is vrij lastig om te doen (vergaand, mogelijk niet volgens de wet).

Basneeleman
@Denskie • 6 juli 2012 09:33

In dit geval gaat het op een voip applicatie. wat het op zich veel logischer maakt om je contactpersonen op te vragen.

0 laadmin
@ronaldmathies • 6 juli 2012 20:08

Dat was heen malware. Dat was een reclame bibliotheek die inderdaad wat agressief te werk ging, maar geen malware. Bijvoorbeeld door een lijst van geinstalleerde apps op te sturen konden er gericht reclames voor vergelijkbare apps worden getoond.

Bovendien konden de gebuikers gewoon zien dat ze die rechten weg gaven.

+1 curumir
@Denskie • 6 juli 2012 11:20

Het begrip 'feit' staat niet heel hoog in je vaandel..?

Heb je links over die apps? En dan serieuze gevallen graag, niet die een proof of concept van een tijdje terug. En graag ook eentje over die 600.000 besmette gevallen?

Hier een felicitatie van een hoge pief bij F-Secure, iPhone vijf jaar malware vrij:
https://twitter.com/mikko/status/218329213420322817

En die 600.000 hypothetische gevallen van jou staan tegenover ruim 700.000 aangetoonde gevallen bij Android, alleen al uit de playstore van Google!
http://www.trendmicro.co....ce-of-the-android-threat/

En ja, er zijn (veel) gebruikers die niet goed lezen en maar doen. Apple heeft geprobeerd daar een oplossing voor te zoeken. Jou gaat die oplossing te ver, veel mensen waaronder ik vinden het een prima trade-off.
Mooi, ieder z'n keuze!

ADQ
@ronaldmathies • 6 juli 2012 09:21

Het wordt steeds harder nodig om te scannen, en antivirus op je telefoon te gebruiken.
Er zijn al botnets van Android telefoons!
http://www.bbc.com/news/technology-18720565

_{Edit: Offtopic?}

[Reactie gewijzigd door ADQ op 6 juli 2012 13:06]

World Citizen
6 juli 2012 08:26

And it's gone... (sorry het blijkt hip the zijn)

Ik vind het raar dat dit door de Apple Test is gekomen alvorens het is gepubliceerd.. Apple zou voor mij alles moeten check, maar hebben dit niet gedaan? Of over het hoofd gezien ?

Of was het wel echt een bug... Die niet zomaar opviel?

*edit: Thanks heren hieronder!

[Reactie gewijzigd door World Citizen op 6 juli 2012 08:57]

+2 nils7
@World Citizen • 6 juli 2012 08:36

Als ze iets uploaden naar een server zoals er staat geschreven kan Apple niet zomaar weten wat er daarna met die gegevens wordt gedaan....

Want er is geupload en daarna verzonden. Als er niks wordt verzonden gedurende het "toelatingsprocess" dan kon Apple dat niet weten.

Gewoon deze developers hun account afnemen!

ultimasnake
@World Citizen • 6 juli 2012 08:50

Dit is een scenario vergelijkbaar met die van NUJIJ.nl gister, de applicatie deed niets wat niet mag. Het heeft toegang tot je telefoonboek. Deze gegevens upload hij naar een server waarschijnlijk om te kijken wie de app nog meer gebruikt. Tot nu toe niets vreemd, dit doen skype en facebook oa ook.

Vervolgens na de test periode past men op de externe server wat code aan en gaan er ineens SMSjes de deur uit. Er staat echter niet een wat voor een SMSjes, wie weet is het een advertisement voor de app die verder (mogelijk) legitiem is en door een bug wordt echt iedereen benaderd ipv de geen die jij aangeeft.

Ditzelfde gebeurde met nujij.nl die screende een banner, de link naar de banner en toen de banneer eenmaal live was hebben ze de achterliggende site aangepast om malware te verspreiden.

Beide scenarios zijn helaas onoverkoombaar, belangrijker is de response tijd en in beide app-stores is de app al verwijderd.

[Reactie gewijzigd door ultimasnake op 6 juli 2012 08:51]

0 laadmin
@World Citizen • 6 juli 2012 20:06

Er was een tijdje terug al een hele waslijst aan apps die adresboeken zonder weten van de gebruiker opstuurden naar een server. Apple heeft dat van al die apps voorheen niet ontdekt.

Totdat iemand simpelweg met een packetsniffer ging kijken wat die apps nou aan netwerkverkeer verstuurden. Dat heeft Apple dus nooit getest!

Stel je voor dat zo'n app in de gaten heeft dat hij in het Apple domein zit. Of dat de app wacht op een bepaalde datum voordat zichzelf activeert. Of wat dan ook om even te wachten met verdachte handelingen.

Apple kan dat allemaal niet zien en ze testen er niet eens op. Die hele screening van Apple is een wassen neus.

We hebben geen flauw idee hoeveel apps ze achteraf hebben ingetrokken zonder dat iemand het in de gaten had. We hebben geen flauw idee hoeveel apps er nu in de app store staan die als malware bestempeld zouden kunnen worden.

Aan de andere kant, het is bij Apple veel makkelijker om geld te stelen. iTunes accounts zijn veel kwetsbaarder dan allemaal ingewikkelde trucs uithalen om iets te verdienen aan een hack. Dieven die zich op Apple richten hebben het dus helemaal niet nodig om die kant op te gaan. Een iTunes account leegroven is veel makkelijker.

+1 eddy_71
6 juli 2012 08:53

Gaan we weer. Wordt natuurlijk weer een android-ios flamewar/discussie/de mijne is groter dan de jouwe.

Feit blijft dat de gebruiker in het algemeen de oorzaak is van een besmetting. Zoals door anderen ook al aangegeven worden vaak apps zonder te lezen geïnstalleerd. Ik maak al ruim drie jaar gebruik van android en al vele jaren daarvoor windows. Ik heb nog nooit een besmetting gehad omdat ik goed oplet wat ik installeer en/of aanklik. En ja, ik installeer op mijn telefoon ook apps buiten de play-store om en ja ik heb mijn toestel geroot. Ook daar nog nooit fout gegaan.

+1 Gody
@eddy_71 • 6 juli 2012 09:00

In het algemeen is dat misschien zo, in dit geval is je opmerking echt minder van toepassing aangezien gebruikers voor een VoIP app logischerwijs hun adresboek graag open zouden stellen. Helaas maakt de maker van de app er misbruik van; ongeacht of het een bug was of niet, de kans dat je adresboek met legitieme nummers op straat ligt is groot.

+1 Inflexus
6 juli 2012 10:46

Toch aparte keuze voor de titel van dit nieuwsbericht.

Titel: "Kaspersky treft eerste malware in App Store aan"
Eerste zin artikel: "Kaspersky heeft malware gevonden in de App Store en de Google Play Store."
Zoek de verschillen.

En dan de laatste zin:
Inmiddels is de 'Find and Call'-applicatie echter wel verdwenen uit beide applicatiewinkels, wat erop kan wijzen dat het daadwerkelijk om malware gaat.

xoniq

Apple

@Inflexus • 6 juli 2012 13:08

Klopt, sowieso is dit eigelijk geen malware. Dat is een te groot woord.
Adresboek gebruiken door apps is toegestaan, alleen als het bedrijf erachter hier met een 3rd party server (volledig buiten de iPhone en iOS + apps om) dan via een SMS server SMSjes gaat sturen, dan heeft dit noch met Apple noch met het OS te maken.

Sfynx
6 juli 2012 12:45

Op Google Play is zeker de helft pure crap, daar kijkt niemand meer van op... en nu er een keer toch een sneue app door de Apple douane heen is geglipt omdat het nog steeds mensen zijn die weleens een foutje maken staan we praktisch te roepen om het hoofd van Tim Cook

De App Store van Apple is nog steeds het veiligste smartphone app platform, ik zou een leek niet bij de concurrent aan z'n lot willen overlaten...

xoniq

Apple

@Sfynx • 6 juli 2012 13:05

Dit heeft niets met Apple's beveiliging te maken. Applicaties mogen gebruik maken van het adresboek, als een bedrijf dan dit adresboek misbruikt vanaf een externe server (de app zelf doet in feite niks fout) kan Apple er toch weinig aan veranderen?

Dus het is geen malware app, het is een bedrijf die de informatie die ermee gewonnen is op een legale manier, misbruikt.

0 CrazyTurk
@Sfynx • 6 juli 2012 13:56

Ik denk toch je wat beter moet kijken. Op de apple store hebt bijv. een zaklamp app 1000x. En op google play rond de 200. Wie is er nou crap?

0 mstam
@CrazyTurk • 7 juli 2012 03:00

Google Play want daar ligt het percentage aan goede zaklamp apps relatief lager dan de App Store.

Magnetic_Man
6 juli 2012 08:26

Dat is ook het gevaar van toestaan om adresboeken te uploaden. Dan kan niemand (zelfs de strikte controle van Apple) controleren wat er mee gebeurt.

+1 Ninja1
6 juli 2012 08:29

Lijkt mij toch precies te doen wat de naam lijkt aan te geven.
Find alle contacten in het telefoonboek en Call al deze contacten met een boodschap.
Agressieve vormen van adverteren mag ons niet vreemd meer zijn, toch?!

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Kaspersky treft eerste malware in App Store aan

Lees meer over

Nieuwste IT Banen

LOI ICT Opleidingen

Gerelateerde content

Sorteer op:

Weergave:

Reacties (141)