Android en beveiliging: dit waren de grootste bedreigingen van 2015

Androidbeveiliging in 2015 en verder

In dit artikel bespreken we de grootste bedreigingen als het gaat om Android-beveiliging. Het artikel is opgedeeld in twee stukken en het eerste deel gaat over de verschillende soorten schadelijke apps op Android en het tweede gedeelte gaat over een aantal specifieke bedreigingen waar Android mee te maken heeft gehad. Dit artikel is onderdeel van een tweedelige serie over Androidbeveiliging en het eerste deel waarin we de beveiligingsmaatregelen van Google bespreken is hier te vinden.

Schadelijke apps

Volgens Google zijn ‘potentieel schadelijke apps’ de grootste bedreiging voor Android. Het gaat om apps in allerlei categorieën, van trojans tot apps die ongewenst sms-berichten naar premium-diensten versturen. 

Welk type malware is in opkomst?

In de statistieken die Google vrijgeeft met betrekking tot de verschillende types malware kunnen we trends ontdekken en zien we welke strategieën cybercriminelen gebruiken om geld te verdienen met malware. Omdat het bedrijf in de jaren voorafgaand aan 2015 geen accurate cijfers heeft van het aantal potentieel schadelijke apps dat op een toestel geïnstalleerd is, wordt er gewerkt met het aantal installatiepogingen van dit soort mogelijk schadelijke apps. Daarbij wordt de kanttekening geplaatst dat dit hoogstwaarschijnlijk zorgt voor een overschatting van het aantal installaties van bepaalde types malware van buiten de Play Store om.

In 2015 waren er volgens Google 40% minder installatiepogingen van potentieel schadelijke apps vanuit de Google Play Store. Hieronder zie je hoe deze installatiepogingen verdeeld waren in de verschillende categorieën van schadelijke apps.

Buiten de Google Play Store om waren er juist meer installatiepogingen van mogelijk schadelijke apps. Dit komt niet alleen door kwaardaardige apps: doordat Google root-applicaties automatisch detecteert, worden deze voornamelijk buiten de Google Play Store om gedistribueerd.

Niet alle mógelijk kwaadaardige apps zijn kwaadaardig

Ondanks dat veel van deze applicaties, die de gebruiker een soort administratorrechten geven, niet kwaadaardig van opzet zijn, worden deze apps toch door Google geblokkeerd. Root-rechten bieden namelijk een beveiligingsrisico en het verschaffen van root-toegang gebeurt door het misbruiken (of gebruiken) van bekende lekken in Android.

Ook onder andere categorieën vallen apps waarvan de schadelijkheid wel mee lijkt te vallen. De categorie data collection bijvoorbeeld: hierin vallen apps die lijst van op een toestel geïnstalleerde apps naar een andere locatie buiten het apparaat kopieëren. Het risico op misbruik van deze gegevens is relatief laag. Buiten de Google Play Store is het aantal van dit soort installatiepogingen toegenomen in 2015, omdat Google pas vanaf het einde van 2014 dit soort apps als mogelijk kwaadaardig bestempelde. Binnen de Google Play Store is het aantal van dit soort apps afgenomen, omdat Google ontwikkelaars expliciet waarschuwde dat het kopieëren van dit soort lijsten zonder goede reden niet toegestaan is.

Hostile downloaders, trojans en spyware

In het afgelopen jaar was er een toename in het aantal installatiepogingen voor downloaders en trojans. Deze toename gaat hand in hand en is te herleiden naar een enkele malware-familie, die van Ghost Push. De Ghost Push-apps zorgden er voor dat andere kwaadaardige apps naar een apparaat werden gedownload en werden geïnstalleerd. Daarbij ging het voornamelijk om trojans. Dit type malware wordt gebruikt om toestellen op afstand te benaderen, waarbij bijvoorbeeld gebruikersdata buitgemaakt kan worden of toestellen opgenomen kunnen worden in een botnet.

In 2015 was er een afname van de hoeveelheid spyware binnen en buiten de Google Play Store. Dat heeft twee oorzaken en de eerste daarvan is alleen maar een schijnbare afname. Google heeft namelijk de definitie van spyware iets aangepast, omdat er steeds minder apps zijn die alleen maar gevoelige data in de breedste zin van het woord verzamelen. Malware-apps zijn steeds vaker gericht op een specifieke toepassing, zoals het openen van backdoors om toegang tot toestellen te krijgen of het verkrijgen van login-informatie. Deze malware-apps worden nu onder respectievelijk backdoors en phishing-apps geschaard.

Volgens Google is het aantal spyware-apps ook afgenomen, omdat het bedrijf zijn beleid op het gebied van dataverzameling heeft aangepast. Het verzamelen van gegevens door bijvoorbeeld advertentienetwerken moet aan strikte voorwaarden voldoen, anders mogen apps niet in de Google Play Store gepubliceerd worden. De malwarescanner van Google scant ook op het gebruik van advertentienetwerken die niet aan deze voorwaarden voldoen en laat ontwikkelaars geen apps uploaden met code van deze netwerken. Doordat veel advertentienetwerken hun beleid hebben aangepast, worden deze en de apps die er gebruik van maken niet langer tot de spyware-categorie gerekend.

Google maakt ook onderscheid tussen normale spyware en spyware die door familieleden of bekenden geïnstalleerd is. Het bedrijf noemt die laatste categorie commerciële spyware, maar ook wel ‘spouseware‘. Die benoeming slaat op het feit dat het vaak gaat om software die wordt gebruikt om echtgenoten/echtgenotes en partners in de gaten te houden.

Sms-fraude neemt af

De afgelopen jaren heeft één specifieke malware-categorie bijna uit weten te bannen, namelijk die van apps die gebruikt worden om premium sms-berichten te versturen. Dit soort apps kunnen er voor zorgen dat de gebruiker een enorm hoge telefoonrekening krijgt en schijnen jarenlang een lucratieve handel geweest te zijn voor malware-ontwikkelaars.

In 2014 begon Google met het waarschuwen van gebruikers wanneer een app een berichtje probeert te versturen naar een premium-dienst. Deze waarschuwingen zijn zo effectief dat er nog maar amper misbruik gemaakt wordt in de vorm van sms-fraude. Er zijn nog wel een aantal landen waar het vaker voorkomt, omdat in die landen veel diensten en producten betaald worden door middel van premium-sms’jes. In de grafiek zie je dat het aantal malware-apps die sms’jes versturen flink afneemt.

Het bedrijf verwacht dat dit misbruik nog verder zal afnemen in 2016, omdat door het nieuwe permissiesysteem van Android 6.0 Marshmallow de gebruiker nog duidelijker in de gaten heeft dat een app sms-berichten kan versturen. Wereldwijd wordt in 2015, net als in 2014, het versturen van ongeveer 12% van de premium-berichten geblokkeerd. 

Voor Nederland en België is het niet relevant, maar in de plaats van sms-fraude werd er tot halverwege 2015 door malwaremakers ingezet op fraude met betalingen via de telefoonrekening. Deze vorm van fraude kwam tijdelijk veel voor in onder andere Rusland en had te maken met het feit dat providers daar app-makers de mogelijkheid geven om aankopen van klanten af te rekenen via de telefoonrekening. In de tweede helft van 2015 nam deze vorm van misbruik af tot bijna nul. 

Ransomware: geblokkeerde toestellen

Sinds het begin van 2014 zijn er gevallen van ransomware op Android waargenomen. Ransomware, afgeleid van het Engelse woord voor losgeld, bestaat in twee vormen. De eerste versleutelt bijvoorbeeld de volledige opslag van foto’s, media en andere door de gebruiker opgeslagen bestanden. Pas wanneer de gebruiker ‘losgeld’ betaalt, kan deze de bestanden weer bekijken. De tweede vorm van ransomware blokkeert een smartphone of tablet dusdanig dat het apparaat onbruikbaar voor de gebruiker is.

Volgens Google wordt ransomware bijna volledig van buiten de Google Play Store om geïnstalleerd en wordt de gebruiker om de tuin geleid met apps die legitiem lijken te zijn, maar toch deze vorm van malware bevatten. Als voorbeelden geeft het bedrijf porno-apps, Flash-downloaders en mediaspelers. 

Specifieke bedreigingen

Google gaat in zijn rapport in op een aantal specifieke dreigingen die een impact hebben gehad op de veiligheid van Android in het afgelopen jaar. We bespreken hier de interessantste specifieke dreigingen van 2015. Voor Nederland en België zijn eigenlijk alleen Stagefright en Certifigate echt relevant, maar de aanpak die Google toonde bij Ghost Push en de Russische bankfraude, zijn ook zeker relevant voor de Benelux.

Stagefright-angst

In 2015 werd de Android-wereld opgeschrikt door een groot lek in het besturingssysteem, of beter gezegd een verzameling lekken in de mediaspeler van Android, libstagefright. Dit lek werd binnen korte tijd berucht, omdat het niet alleen in bijna alle Android-versies te vinden was, maar ook omdat het op afstand misbruikt zou kunnen worden.

Door het Stagefright-lek werd het in principe mogelijk om de volledige controle over een smartphone te krijgen na het versturen van een geprepareerd mms-bericht. Het uitkomen van het lek zorgde er voor dat er direct maatregelen genomen werden, niet alleen door Google, maar ook door providers. Veel providers zorgden er voor dat mms-berichten niet direct gedownload en geopend worden op smartphones, zodat gebruikers eerst kunnen controleren of een berichtje uit een betrouwbare bron komt.

De angst rondom Stagefright zorgde er voor dat Google sneller en duidelijker werd in zijn beleid rondom beveiligingsupdates. Android-toestellen laten voortaan bijvoorbeeld zien welk ‘patch level’ ze hebben. Dit is nodig, omdat het bedrijf beveiligingsverbeteringen uitbrengt voor alle Android-versies vanaf Android 4.4.4 KitKat en het dus niet per se betekent dat een oudere Android-versie op een toestel ook daadwerkelijk onveilig is. Meer over het beveiligingsbeleid sinds het Stagefright-lek vind je in het eerste deel van deze artikelserie. 

Het interessante rondom de controversie rondom Stagefright is overigens dat er volgens Google geen enkel bewijs is dat de kwetsbaarheden in libstagefright daadwerkelijk misbruikt zijn door kwaadwillenden. Wel zijn er verschillende onderzoekers en bedrijven geweest die met code hebben aangetoond dat het wel daadwerkelijk mogelijk was om toestellen over te nemen, ook op andere manieren dan via mms-berichten. Google geeft ook aan dat er tools voor hackers zijn (exploit toolkits) die gebruik maken van Stagefright-kwetsbaarheden.

Certifigate en andere beveiligingsproblemen

Er zijn volgens Google wel hackpogingen op afstand gedaan op basis van een in 2012 gedicht lek. Google zegt aanwijzingen te hebben dat er actief misbruik gemaakt is van een lek in WebViews, het onderdeel van Android-apps dat gebruikt wordt om websites of webapps weer te geven. Sinds Android 4.1 Jelly Bean wordt het WebView dat in Android-apps gebruikt wordt automatisch geüpdatet en voorzien van beveiligingsupdates, maar oudere Androidversies zijn mogelijk wel kwetsbaar voor het lek.

Certifigate is een ander relatief groot lek dat in 2015 naar buiten kwam. Net als bij Stagefright is Certifigate eigenlijk een verzamelnaam voor een aantal lekken, ditmaal in beheersoftware op Android. Verschillende fabrikanten leveren zogenaamde mobile Remote Support Tools (mRST’s) mee met hun smartphones om zo ondersteuning op afstand te kunnen leveren. Deze tools zijn geen onderdeel van Android en worden dus niet door Google ondersteund, maar leveren desalniettemin een beveiligingsrisico op. Verschillende van deze apps bleken namelijk verre van waterdicht en tijdens de Black Hat-beveiligingsconferentie toonde het bedrijf Checkpoint Security verschillende lekken in deze applicaties, waardoor de volledige controle over smartphones overgenomen kon worden. Google heeft daarop verschillende van deze apps uit de Play Store verwijderd en er voor gezorgd dat gebruikers worden gewaarschuwd wanneer ze deze buiten de Play Store om willen installeren. 

Ghost Push

Ondanks dat de malwarefamilie Ghost Push amper een probleem is geweest buiten Zuid-Oost Azië om, is het wel een interessant verhaal. Ghost Push is een familie van malware-apps die kwaadaardige software op smartphones downloadt en installeert.

Google geeft aan dat het bedrijf de malwarefamilie al sinds eind 2014 volgt en halverwege ineens een enorme toename in de installaties van apps uit deze familie registreerde. Het ging daarbij om meer dan 40.000 verschillende apps en 3,5 miljoen installatiepogingen. In een periode van zeven weken bestond 30% van de installatiepogingen wereldwijd uit apps uit deze malwarefamilie.

Voor Google werd het dus tijd om onderzoek te doen naar de herkomst van deze enorme toename in het aantal installaties en deze bleek ter herleiden naar één enkel bedrijf. Dit bedrijf, dat werkt in opdracht van providers en fabrikanten in Zuid-Oost Azië, installeert applicaties op toestellen van deze fabrikanten en providers tegen betaling. Het gaat dan bijvoorbeeld om providerspecifieke apps. Door fouten in de software van dat bedrijf werden soms honderden pogingen per dag gedaan om de Ghost Push-apps op deze toestellen te installeren. 

Google zegt inmiddels samen te werken met het bedrijf, dat niet bij naam genoemd wordt, om het beveiligingsproces te verbeteren, zodat geen malware-apps worden geïnstalleerd. Uiteindelijk zijn er miljarden installatiepogingen gedaan, maar Google schat het aantal besmette apparaten op minder dan 4 miljoen en dan voornamelijk in India en Indonesië. Door samenwerking met verschillende bedrijven en de mogelijkheid van Google om malware-apps op afstand van toestellen te verwijderen, zegt Google dat het aantal besmette toestellen met 90% is afgenomen.

Russische bankfraude

Google gebruikte in 2015 een familie van malware-apps die gericht zijn op het buitmaken van Russische bankgegevens als onderzoekscasus. We zagen in het eerste deel van deze artikelserie al dat Google Russische toestellen aanmerkt als risicovol, omdat er heel veel malware in de omloop is die zich specifiek richt op Russischtaligen. 

Deze specifieke malwarefamilie wacht af tot er een sms-bericht binnenkomt die gebruikt wordt voor twee-factor-authenticatie bij een Russische bank. Gebruikers moeten bij het internetbankieren bij deze bank om in te loggen een code die ze per sms binnenkrijgen opgeven. De malware luistert naar dit soort berichten en gebruikt ze voor bankfraude. Het aantal besmette toestellen lag volgens Google aan het begin van de onderzoeksfase onder de 100.000.

Google nam contact op met de desbetreffende bank en werkte samen met de beveiligingsonderzoekers van de bank zelf om deze apps te detecteren en om ze te verwijderen van smartphones. Voor Google was het de eerste keer dat het bedrijf samenwerkte op dit gebied met andere partijen. 

De aanpak van deze malware-apps gebeurde in twee fasen die duidelijk terug te zien zijn in de grafiek hieronder. In de eerste fase verhoogde Google het aantal scans van apparaten in de risicogroep en in de tweede fase verwijderde Google de malware-apps van de apparaten als er een installatiepoging gedaan werd. Gebruikers werden hier dan van op de hoogte gesteld. Normaal gesproken waarschuwt Google gebruikers dat ze mogelijk een kwaadaardige app aan het installeren zijn, maar in dit geval werd de installatie dus onmogelijk gemaakt. Binnen 11 weken hebben Google en bank het aantal besmette apparaten terug weten te dringen met 80%, ondanks dat de malware-apps op veel verschillende website te vinden waren.

Hoe beschermt Google Android-toestellen?

Er zijn dus verschillende manieren geweest waarop kwaadwillenden het afgelopen jaar misbruik hebben gemaakt van beveiligingsproblemen op Android-toestellen. Als je meer wilt weten over de manier waarop Google de beveiliging op Android verbetert en hoe bijvoorbeeld de automatische malwarescan van Android werkt, lees je het eerste artikel in deze tweedelige artikelserie.