Er zijn meer dan 200 apps met schadelijke code ontdekt en miljoenen keren gedownload in de Google Play Store.

Google heeft de afgelopen jaren flink geïnvesteerd in de ontwikkeling van geavanceerde beveiligingsalgoritmes voor de Play Store. Toch is het niet eenvoudig om bedreigingen vroegtijdig en grondig te voorkomen.

Cybersecurityonderzoekers van beveiligingsorganisatie Zscaler hebben gegevens verzameld tussen juni 2023 en april 2024. Hieruit bleek dat er meer dan 200 schadelijke applicaties zijn, met miljoenen downloads, die openbaar verspreid zijn via de Google Play Store. De meest voorkomende bedreigingen die onderzoekers in de officiële Android App Store hebben aangetroffen, zijn:

• Joker (38,2%): Software die informatie steelt en sms-berichten verzamelt en slachtoffers inschrijft voor premiumdiensten.
• Adware (35,9%): Apps die internetbandbreedte en batterij verbruiken om advertenties op de voorgrond of verborgen advertenties op de achtergrond te laden, waardoor frauduleuze advertentie-impressies ontstaan.
• Facestealer (14,7%): Software die Facebook-accountgegevens steelt door phishingformulieren te plaatsen op legitieme sociale netwerktoepassingen.
• Coper (3,7%): Software voor het stelen van informatie en het onderscheppen van sms-berichten. Kan ook keylogging uitvoeren en phishingsites overlappen.
• Leninginstallateur (2,3%).
• Harly (1,4%): Trojaanse paarden abonneren slachtoffers op premiumdiensten.
• Anatsa (0,9%): Anatsa (of Teabot) is een bankingtrojan die zich wereldwijd op ruim 650 bankingapplicaties richt.

Eerder in mei dit jaar waarschuwden onderzoekers van Zscaler ook al voor meer dan 90 schadelijke apps op Google Play, met in totaal 5,5 miljoen downloads.

Hoewel Google over beveiligingsmechanismen beschikt om schadelijke apps te detecteren, hebben kwaadwillenden nog steeds een aantal trucs achter de hand om het verificatieproces te omzeilen. In een rapport van vorig jaar beschreef het beveiligingsteam van Google Cloud een methode om malware te verspreiden via applicatie-updates of door malware te downloaden van door aanvallers gecontroleerde servers.

Hoewel het rapport van Zscaler zich richt op populaire Android-malware, hebben andere onderzoekers een aantal campagnes ontdekt die ook Google Play misbruiken om malware te verspreiden naar miljoenen mensen.

Een typisch voorbeeld is de Necro-malwaredownloader voor Android, die 11 miljoen keer werd gedownload via slechts twee apps in de Google Play Store.

In een ander geval werd de Goldoson Android-malware aangetroffen in 60 legitieme apps met in totaal 100 miljoen downloads, ook in de Play Store.

Vorig jaar werd SpyLoan-malware aangetroffen in apps op Google Play die meer dan 12 miljoen keer werden gedownload.

Bijna de helft van de schadelijke apps die Zscaler ThreatLabz heeft gedetecteerd, zijn gepubliceerd op Google Play in de categorieën tools, personalisatie, fotografie, productiviteit en lifestyle.

Uit het mobiele bedreigingsrapport van Zscaler blijkt ook een aanzienlijke toename in spyware-infecties, voornamelijk veroorzaakt door de groepen SpyLoan, SpinOK en SpyNote. Het afgelopen jaar registreerde het bedrijf 232.000 blokken met spyware-activiteit.

De landen die het afgelopen jaar het meest doelwit waren van mobiele malware, waren India en de Verenigde Staten, gevolgd door Canada, Zuid-Afrika en Nederland.

Mobiele malware is voornamelijk gericht op de onderwijssector: het aantal geblokkeerde transacties is met 136,8% toegenomen, aldus het rapport. De dienstensector noteerde een groei van 40,9% en de chemische sector en mijnbouw stegen met 24%. In alle overige sectoren was sprake van een algemene daling.

Om de kans op een infectie met malware van Google Play te minimaliseren, moeten gebruikers zorgvuldig de beoordelingen van anderen lezen om te zien welke problemen zijn gemeld. Vervolgens moeten ze de informatie over de app-uitgever grondig controleren.