Malwareboeren hebben Google’s eigen Cloud Messaging-dienst ontdekt als robuust alternatief om commando’s te sturen naar geïnstalleerde Trojans op Android-toestellen. Dat ontdekten onderzoekers van beveiligingsleverancier Kaspersky. Google Cloud Messaging is een gratis dienst waarmee Android-developers push- en synchronisatiefunctionaliteit in hun apps kunnen implementeren.

Nu blijkt dat deze dienst ook gebruikt wordt voor malafide doeleinden: schijnbare legitieme apps die eigenlijk Trojans zijn. Een van de meest beruchte is Trojan-SMS.AndroidOS.FakeInst.a, waarvan Kasperksy maar liefst 4,8 miljoen installers heeft gedetecteerd. De makers blijken via Google Cloud Messaging (GCM) commando’s te versturen, zodat de Trojan dure sms’jes verzendt wat de malwarebeheerders dan geld oplevert.

Google moet accounts blokkeren

Andere Trojans misbruiken GCM als een alternatieve command&control (c&c) server om zichzelf te updaten. Sommige updates zijn door de securityscanner van de GooglePlay-app geblokkeerd, maar anderen kwamen er probleemloos door. Een bijkomende complicatie is dat de communicatie tussen app en GCM niet zomaar is te blokkeren, constateert Kaspersky. Dit kanaal is alleen af te snijden als Google een blokkade oplegt voor de developer-accounts die de Cloud Messaging-dienst misbruiken.