Als je een app uit de Play Store haalt, dan mag je ervan uitgaan dat die veilig is. Hoewel, we hebben recent ook gezien dat het zeker geen garantie is. Daarnaast kun je een app ook sideloaden, maar daarvoor heeft Google wel de nodige veiligheidsmaatregelen ingebouwd. Een .apk zomaar downloaden op je Android-telefoon kan niet: je moet er altijd bepaalde dingen voor uitschakelen. Of nou ja, altijd? Nieuwe malware toont aan dat ook dat iets anders ligt.
Lees verder na de advertentie.
Sideloaden
Google zal je altijd een waarschuwing geven wanneer je op het punt staat om iets te sideloaden. Die beveiliging kan echter worden omzeild, als de kwaadaardige app zich maar goed genoeg voordoet als een officiële bank-app. Wanneer je de app hebt geïnstalleerd worden er accountgegevens gestolen en direct via Telegram naar de aanvaller gestuurd (via ArsTechnica).
Security-expert Jakub Osmani van ESET zegt: “Deze techniek is opmerkelijk omdat het een phishing-applicatie installeert vanaf een website van derden zonder dat de gebruiker de installatie van apps van derden hoeft toe te staan. Op Android zou dit kunnen resulteren in de stille installatie van een speciaal soort APK, die bij nader inzien zelfs geïnstalleerd lijkt te zijn vanuit de Google Play store.”
Progressive Web App
Hoe dit dan toch kan gebeuren? Door de app heel echt te laten lijken en het slachtoffer een bericht te sturen dat er bijvoorbeeld een update is, wordt er een Progressive Web App geïnstalleerd via een website die lijkt op de Play Store. Door het klikken op de installatie-/updateknop wordt vervolgens de installatie van een kwaadaardige applicatie van de website gestart, direct op de telefoon van het slachtoffer, in de vorm van een WebAPK of PWA. Dit kan dus de traditionele browserwaarschuwingen omzeilen voor het installeren van onbekende apps.
Deze apps werken dus met webstandaarden en doen zich voor als een native app, maar zijn dat eigenlijk niet. Hierdoor hoeven ze niet aan alle maatregelen van Google te voldoen. Ze werken op elk platform, in elke browser die de standaarden heeft. Deze apps kunnen ook gewoon op je homescherm staan, alsof ze gewone apps zijn. Tot nu toe lijken de aanvallen zich vooral te concentreren op Tsjechië, Hongarije en Georgië, maar het werkt technisch natuurlijk precies hetzelfde in Nederland of België.
Opletten bij berichten
Let dus op wanneer je een bericht via social media of sms krijgt, want je kunt er inmiddels eigenlijk altijd wel vanuit gaan dat dit phishing is als er een link in staat en je de persoon niet kent. Hackers zouden zelfs advertenties kopen op Instagram om mensen maar te verleiden hun stiekem malafide app te downloaden.
Op de hoogte blijven van het laatste Android-nieuws? Abonneer je op de Androidworld-nieuwsbrief.
Reacties
Inloggen of registreren
om een reactie achter te laten