Let op: Android-malware gevonden in nep-versies WhatsApp en Spotify

In nepversies van populaire apps zoals WhatsApp en Spotify is malware aangetroffen. Het gaat om een nieuwe variant van een zogenaamde trojan met de naam 'Necro', een variant van malware die al een paar jaar rondgaat. Dezelfde malware is daarnaast óók aangetroffen in apps die in de Google Play Store stonden, waaronder een app met ruim 10 miljoen downloads. Wat is er aan de hand? We leggen het uit in dit artikel.

Eind september was het raak. Antivirusbedrijf Kaspersky ontdekte dat er een nieuwe variant rondgaat van de malware met de naam 'Necro'. De malware is aangetroffen in verschillende apps, waaronder twee populaire en veelgebruikte apps die gewoon in de Google Play Store stonden. Deze malafide apps konden zodoende in een handomdraai door alle Android-gebruikers worden gedownload.

En dat gebeurde ook massaal. Eén van de twee besmette apps had op het moment van ontdekking zelfs meer dan 10 miljoen downloads. Toch is dat nog relatief gering, hoe cynisch dat ook klinkt. In 2019 werd namelijk een eerdere variant van deze Necro-malware ontdekt in een app die door meer dan 100 miljoen mensen is gedownload. Ook die app stond destijds gewoon in de Google Play Store.

Ook buiten de Google Play Store om is deze malware nu opgedoken, zo meldt Kaspersky. In die gevallen gaat het meer specifiek om nep-versies van extreem populaire apps zoals WhatsApp, Spotify en Minecraft.

Wat doet deze malware precies? En hoe verklein jij de kans dat jij deze malware onbedoeld op je telefoon krijgt? Daar gaan we het nu over hebben.

In dit geval lijkt de impact van de malware relatief mee te vallen. Er is bijvoorbeeld geen indicatie dat er sprake is van keyloggers waarmee kwaadwillenden gebruikersnamen en wachtwoorden kunnen achterhalen, en het lijkt er ook niet op dat de ontwikkelaars van deze malware het op inloggegevens voor internetbankieren hebben voorzien.

Het voornaamste doel lijkt advertentiefraude. Wie deze malware op de telefoon krijgt na het downloaden van een malafide app, krijgt te maken met advertenties die in onzichtbare browservensters continu worden geladen en ververst. Jouw telefoon wordt als het ware misbruikt om constant op advertenties te klikken. In de wereld van online marketing geldt immers de formule 'clicks = verkeer, verkeer = geld'.

Maar dat is niet alles. In de malware zijn tools aangetroffen die abonnementsfraude lijkt te ondersteunen. Eenmaal geïnstalleerd kan de malware jou ongemerkt abonneren op allerlei vage – én dure – diensten waar eigenlijk geen enkele tegenprestatie tegenover staat. Compleet zinloos en je reinste geldklopperij, en eigenlijk gewoon oplichting. Het staat echter niet vast of dat nu ook echt is gebeurd: onderzoekers van Kaspersky houden een slag om de arm en zeggen er expliciet bij dat het 'mogelijk' om abonnementsfraude gaat.

Daarnaast kan Necro ongemerkt allerlei aanvullende software installeren, willekeurige – en dus potentieel schadelijke – links openen in onzichtbare browservensters en allerlei JavaScript-code uitvoeren. Kortom, zaken die je om talloze redenen liever niet op je telefoon hebt.

Je smartphone wordt door dit alles merkbaar trager. Er zijn op de achtergrond immers veel processen gaande zonder dat je het ziet. Je kunt dan ook spreken van bloatware, oftewel software waar ongewenste, nutteloze of onnodig grote softwarecomponenten in aanwezig zijn.

Het vermoeden bestaat dat de twee besmette apps die in Google Play stonden, besmet zijn geraakt doordat in beide apps gebruik werd gemaakt van een malafide extensie voor het in de app tonen van advertenties. Dat is een extensie die afkomstig is van een derde partij. Om die reden kun je niet stellen dat de ontwikkelaars van beide apps dit bewust hebben gedaan.

In deze malafide extensie zijn bovendien ook sporen ontdekt waaruit blijkt dat de ontwikkelaars van deze malware er veel moeite in hebben gestopt om onder de radar te blijven.

Er zijn verschillende apps gevonden die besmet zijn met Necro. Twee daarvan stonden in de Google Play Store, een aantal andere apps waren alleen via niet-officiële bronnen te downloaden.

Omdat het downloaden van apps uit niet-officiële bronnen iets omslachtiger en risicovoller is, maken we in dit artikel een onderscheid tussen apps die via officiële kanalen – Google Play – worden gedownload en apps die via niet-officiële kanalen worden gedownload.

We bespreken éérst kort de twee apps in Google Play.

Necro is aangetroffen in een app met de naam Wuta Camera - Nice Shot Always van ontwikkelaar Benqu. Deze app heeft meer dan 10 miljoen downloads en wordt gebruikt voor beeldbewerking.

Deze app was besmet met de malware tussen versie 6.3.2.148 met een verschijningsdatum van 18 juli 2024 en versie 6.3.6.148 die is uitgebracht op 20 augustus 2024. Volgens Google is deze app nu vrij van malware en de app staat nog altijd in de Play Store. Maar wie deze app heeft gedownload en geïnstalleerd tussen beide data hierboven, loopt nog altijd het risico op de aanwezigheid van ongewenste elementen die door de malware op het toestel zijn geïnstalleerd.

Dit artikel gaat verder na onderstaande afbeelding.

De tweede app waarin deze malware is aangetroffen, is een app genaamd Max Browser - Private & Security. Deze browser deed de belofte dat gebruikers "vrij van hindernissen en privacyproblemen" konden surfen, wat het enigszins ironisch maakt dat juist in deze app malware is ontdekt.

Deze app is door Google uit de Play Store gehaald na melding van Kaspersky. De naam van de ontwikkelaar suggereert bovendien dat er uit naam van dezelfde ontwikkelaar ooit sprake was van een app waarmee verwijderde WhatsApp-berichten teruggehaald kunnen worden. Nu is dat in theorie inderdaad mogelijk als je in WhatsApp de optie om backups te maken van je gesprekken hebt ingeschakeld, maar daar is geen externe app voor nodig.

Dit artikel gaat verder na onderstaande afbeelding.

Het is ook mogelijk om apps te downloaden buiten Google Play om. Daar is iets meer kennis voor nodig en voor veel doorsnee bezitters van een smartphone geldt dat ze dit zelden tot nooit hoeven te doen. De officiële Play Store van Google voorziet in veel gevallen namelijk in de behoefte aan de meest gangbare apps.

Het risico van apps downloaden uit niet-officiële bronnen is simpelweg groter: de controle is minder goed of is zelfs geheel afwezig, waardoor de kans toeneemt dat je schadelijke of gevaarlijke apps downloadt en installeert.

Kaspersky heeft deze nieuwe variant Necro-malware óók aangetroffen in een aantal niet-officiële apps. Dat gaat om gemodificeerde versies van zeer populaire apps als WhatsApp en Spotify. Deze varianten spelen in op de behoefte van gebruikers aan aanvullende functionaliteiten of functionaliteiten die in de officiële versies van dit soort apps niet bestaan. Het downloaden van dit soort gemodificeerde apps is niet zonder risico.

Zo zijn er WhatsApp-mods te vinden met namen als 'GBWhatsApp' en 'FMWhatsApp', waarin betere privacy wordt beloofd en een aantal aanvullende functionaliteiten, zoals een grotere uploadlimiet voor bestanden die je deelt.

'FMWhatsApp' stelt dat deze mod door maar liefst 2 miljard mensen wereldwijd wordt gebruikt. Hoewel het niet mogelijk is om betrouwbare downloadstatistieken te vinden van dit soort niet-officiële apps, lijkt het ons zeer onwaarschijnlijk dat 2 miljard mensen de moeite hebben genomen om een niet-officiële app te zoeken en deze vervolgens te installeren.

Daarnaast worden online verschillende niet-officiële versies van Spotify aangeboden, die uiteraard ook alleen via niet-officiële bronnen te downloaden zijn. In één van deze namaakversies is de Necro-malware aangetroffen.

De ontwikkelaar van deze mod belooft dat je via deze versie gratis én reclamevrij naar muziek en podcasts kunt luisteren, terwijl je alleen tegen betaling reclamevrij kunt luisteren via de officiële app. Dat klinkt aantrekkelijk, maar het is natuurlijk wel buitengewoon vervelend als je via zo'n namaakvariant van een officiële app ongemerkt allemaal malware op je telefoon krijgt.

Het artikel gaat verder na onderstaande afbeelding.

Eén zeer doeltreffende manier om het risico te minimaliseren, is door géén apps uit niet-officiële bronnen te installeren tenzij je 100 procent zeker weet dat de ontwikkelaar betrouwbaar is. Wees helemaal op je hoede als er sprake is van zogenaamde (niet-officiële) 'Premium'- of 'Plus'-varianten van populaire apps die gratis functionaliteiten beloven die je normaal gesproken alleen tegen betaling kunt verkrijgen in de officiële versies.

Maar ook officiële apps zijn niet altijd veilig, ook al vindt er in Google Play continu controle plaats. Soms is er gewoon sprake van domme pech en kun je er niet zo veel aan doen, want het kan gebeuren dat een legitieme app tóch besmet wordt met malware als er bij de ontwikkelaars sprake is van een moment van onachtzaamheid. Geen twijfelachtige apps downloaden en goede antivirussoftware gebruiken kan een hoop schelen.

Google reageerde tegenover techblog Bleeping Computer als volgt: "Android-gebruikers zijn via Google Play Protect automatisch beschermd tegen malware. Deze functie staat automatisch ingeschakeld op Android-toestellen met Google Play Services. Google Play Protect kan gebruikers óók waarschuwen voor malafide apps en kan deze apps zelfs blokkeren. Dat geldt ook voor apps die buiten Google Play om zijn gedownload."

Het lijkt er overigens niet op dat Nederlanders verhoogd risico liepen, en het dreigingsniveau schatten we in als relatief laag. Het kan echter nooit kwaad om nog eens te wijzen op de manieren waarop malware zich kan verspreiden en de risico's van het downloaden van niet-officiële apps.

Bron: Android World, Bleeping Computer, Kaspersky (SecureList)