Opnieuw besmette apps in Android Market
Gepubliceerd: Woensdag 1 juni 2011
Auteur: Tonie van Ringelestijn
Google heeft 26 malware-apps uit zijn Android Market moeten verwijderen. De besmette apps bevatten een versie van de DroidDream-malware.
De geïnfecteerde apps met namen als 'Hot Girls 4', 'Beauty Breasts' en 'Sex Sound Hot Japanese' zijn door tussen de 30 duizend en 120 duizend Android-gebruikers gedownload, meldt securitybedrijf LookOut. Een app-ontwikkelaar ontdekte de malware nadat hij zag dat via de Android Market een aangepaste versie van zijn app werd verspreid. De extra broncode bleek te lijken op die van DroidDream. Na ontdekking van de malware heeft Google binnen een dag alle besmette apps verwijderd.
Mobiel botnet
Met de nieuwe, gestripte variant van DroidDream kunnen de malwaremakers via een sms-bericht de besmette app activeren, waarna gegevens over het toestel worden doorgestuurd, zoals IMEI, IMSI, model, sdk-versie en informatie over geïnstalleerde apps.
Onderzoeker Mikko Hypponen van anti-virusbedrijf F-Secure spreekt van een 'mobiel botnet'. De malware kan ook nieuwe pakketten installeren, maar daarvoor is toestemming van de gebruiker nodig. Bij de eerste versie van DroidDream was dat niet het geval. Volgens Hypponnen heeft Google dit keer 'enkele dozijnen' besmette apps uit de Android Market moeten schrappen.
Kill switch
Eind februari werd DroidDream nog in meer dan 50 apps in de Android Market ontdekt. Toen hadden meer dan 200 duizend gebruikers de gratis apps al gedownload. DroidDream gaf aanvallers controle over de telefoon. De malware misbruikte een bekend Android-lek voor het verkrijgen van rootrechten.
Google maakte vervolgens gebruikt van de zogeheten 'kill switch': een app om de malware op afstand van besmette telefoons te verwijderen en deze te resetten. Het is nog niet duidelijk of Google ook in dit geval de kill switch zal inzetten.
