De malware was via de Android Market verspreid en stal persoonlijke informatie van smartphone-gebruikers. Google voert maatregelen in om zijn app store voor Android beter te beveiligen tegen malwareverspreiders. Tot op heden was Google niet zo streng bij het toelaten van apps in de Market. Dat in tegenstelling tot bijvoorbeeld Apple, dat apps keurt vóór toelating in de iTunes App Store. Google verwijdert schadelijke apps normaliter pas uit de Market na een melding van een gebruiker.

Apps snel toelaten

Het is onbekend of Google die werkwijze nu omgooit. Het bedrijf laat apps namelijk zo snel toe in zijn app store omdat ontwikkelaars dat op prijs zouden stellen. Wel stelt Android-beveiligingshoofd Rich Cannings dat het voorkomen van malware in de Market een prioriteit wordt. Google wil nieuwe beveiligingsmaatregelen toevoegen die dit soort aanvallen in de toekomst moeten voorkomen.

Een aanval als die van vorige week zou dan verleden tijd moeten zijn. Toen werden duizenden Android apparaten besmet door malware met de naam DroidDream. Die malafide Android-software had zich genesteld in vijftig ‘legitieme’ applicaties.

Na het installeren van zo’n applicatie kon de malware informatie over een apparaat vergaren. Daarnaast kon de malware andere kwaadaardige applicaties installeren. Alle apparaten met een Android-versie tot en met 2.2.2 zijn kwetsbaar voor DroidDream.

Verwijderd met kill switch

Google hield deze besmetting van Android-toestellen lange tijd stil. Afgelopen weekend bevestigde de zoekreus pas dat er inderdaad telefoons besmet waren. Toen had Google de besmette applicaties al uit de Market verwijderd. Het bedrijf gebruikte bovendien de kill switch in zijn mobiele besturingssysteem Android om de applicatie ook op afstand te verwijderen van alle besmette telefoons.

Gebruikers die een besmette app hebben geïnstalleerd op hun smartphone krijgen volgens Google binnen drie dagen een melding per e-mail. Dat bericht wordt gestuurd naar het Google-account waar de telefoon aan is gekoppeld.

Naast het op afstand verwijderen van apps, heeft Google alle besmette applicaties ook uit de Market verwijderd. De accounts waar die applicaties mee zijn geplaatst in de online-winkel zijn geblokkerd. Bovendien is de politie ingeschakeld.

Alleen 's nachts actief

De malware gebruikt twee exploits in Android: ‘exploid’ en ‘rageagainstthecage’. Met behulp van die kwetsbaarheden installeert het zichzelf en de andere malware die het op zijn beurt kan downloaden. Opvallend genoeg doet de tweede exploit ook dienst voor een applicatie waarmee enkele Android-telefoons heel eenvoudig te jailbreaken zijn.

Beveiligingsbedrijf Lookout Mobile Security heeft de malware geanalyseerd en doet daar verslag van op haar weblog. Opvallend aan DroidDream is dat de malware alleen actief is tussen elf uur ’s avonds en acht uur ’s ochtends. Oftewel als de bezitter van het toestel waarschijnlijk in bed ligt en dus geen vreemde activiteit op de telefoon opmerkt.

Root-toegang

Door middel van de exploits krijgt DroidDream root-toegang tot de Android-toestellen. Daarna kan het in wezen alles doen op en met het toestel wat het maar wil. In dit geval stuurde de malware het unieke nummer van de telefoon (IMEI) en het unieke nummer van de simkaart (IMSI) naar een server in Californië.

Nadat die informatie verzonden is, downloadt DroidDream een applicatie met de naam ‘DownloadProviderManager.apk’ die verhindert dat gebruikers de malware kunnen verwijderen of zelfs opmerken. Dat kan alleen met bijkomende speciale machtigingen, stelt beveiligingsbedrijf Lookout.

Meertrapsraket

Het tweede stuk malware stuurde vervolgens nog meer informatie naar een externe server. Die buit omvatte onder andere het model van de telefoon, de taal die de gebruiker ingesteld heeft, het land waar de gebruiker vandaan komt maar ook het productidentificatienummer en gebruikersnamen die ingesteld zijn. Ook deze malafide app kan weer andere malware downloaden en installeren.

Volgens de onderzoekers van Lookout is de extra app die DroidDream installeert met name bedoeld om een verbinding met de command&control-server te onderhouden. Omdat het beveiligingsbedrijf geen commando’s van die server heeft kunnen oppikken, is het niet duidelijk wat de criminelen achter deze malware daarmee van plan waren.

Erg krachtige zombie

Volgens Lookout is DroidDream in potentie erg krachtige malware. Dat vanwege de root-toegang die het zich toeëigent. “DroidDream kan beschouwd worden als een erg krachtige zombie agent die elke applicatie naar keuze stilletjes kan installeren. Ook kan het code naar willekeur uitvoeren”, aldus het beveiligingsbedrijf.

DroidDream is de eerste grootschalige malwarebesmetting van Googles eigen Android Market. Eerder waren er al wel gevallen van applicaties waarmee geknoeid is. Omdat Android relatief open is, meenden beveiligingsexperts eerder al dat Android minder veilig zou zijn dan gesloten platformen van de concurrentie.