Android en beveiliging: dit waren de grootste bedreigingen voor Android (2017-editie)

Android Security Year in Review 2016

Vorig jaar hebben we uitgebreid verslag gedaan van de belangrijkste manieren waarop Google probeert Android veiliger te maken en ook wat de grootste bedreigingen waren op het gebied van veiligheid.

Deze week heeft Google het ‘Android Security Year in Review’-rapport voor 2016 vrijgegeven. Dit 71 pagina’s tellende rapport staat weer bomvol statistieken, nieuwe beveiligingsmaatregelen en interessante malwarefamilies. In het eerste deel van deze tweedelige artikelserie bespreken we welke nieuwe maatregelen Google het afgelopen jaar getroffen heeft om Android beter te beveiligen. In dit tweede deel bespreken wat de grootste bedreigingen waren op beveiligingsgebied.

Wat zijn PHA’s?

Wanneer Google het heeft over het bestrijden van malware, noemt het bedrijf altijd de term PHA. Dit staat voor potentially harmful application en is volgens Google een beter alternatief voor de verzamelnaam ‘malware’, omdat deze niet goed gedefinieerd is. De term betekent letterlijk ‘potentieel schadelijke app’ en omschrijft verschillende malwarecategorieën zoals achterdeur-apps, sms-fraude, ransomware, spam-apps en spyware. Daarnaast vallen root-apps ook onder de PHA, omdat ze mogelijk schade kunnen toebrengen onder andere door de beveiliging van een toestel te verzwakken.

Het afgelopen jaar heeft Google wat veranderingen aangebracht in zijn definitie van mogelijk schadelijke apps. De belangrijkste daarvan is dat apps die (ongewenst) gevoelige informatie verzamelen over de gebruiker niet langer worden geclassificeerd als PHA, maar deze vallen voortaan in een nieuwe categorie van apps, namelijk Mobile Unwanted Software (MUwS). Dit soort apps zijn niet toegestaan volgens de richtlijnen van Google en volgens het bedrijf is er een flinke toename in het aantal legitieme apps waarbij meer informatie wordt verzameld dan noodzakelijk is. Google wijst ontwikkelaars al op overtredingen van de richtlijnen en zal in 2017 extra maatregelen te nemen om deze ontwikkeling tegen te gaan.

Google schaart apps die gebruikers zelf installeren om root-toegang te verkrijgen op hun toestel, wel onder de PHA’s, omdat deze apps het beveiligingsmodel van Android aanpassen. Dit kan zorgen voor grote beveiligingsproblemen. De apps worden, in tegenstelling tot apps die in het geheim root-toegang verkrijgen, echter niet opgenomen in de statistieken.

De uitgebreide definitie van PHA’s van Google kun je hier vinden.

Potentieel schadelijke apps in 2016

In 2016 stond er op minder dan 1% van de Android-apparaten een PHA geïnstalleerd. Het grootste gedeelte van deze potentieel schadelijke apps is afkomstig van buiten de Google Play Store. Google geeft aan dat een gebruiker meer dan 10 keer zoveel kans heeft om een PHA van buiten de Play Store te downloaden. In 2016 was 0,012% van de app-installaties via de Google Play Store een mogelijk schadelijke app.

Google geeft aan dat er nog steeds potentieel schadelijke apps in de Play Store te vinden zijn. Het bedrijf schat dat 0,16% van de apps in de Play Store potentieel schadelijk is, waarbij niet duidelijk is welk percentage daarvan daadwerkelijk schadelijke gevolgen voor de gebruiker heeft. In het vierde kwartaal van 2016 had 0,5% van de Android-apparaten via de Play Store een mogelijk schadelijke app geïnstalleerd en van de toestellen die ook apps van buiten de Play Store om installeerden, bevatte 1,05% van de toestellen een mogelijk schadelijke app.

Google houdt ook statistieken bij over hoe de installatie van PHA’s verdeeld is over verschillende toestellen. Volgens het bedrijf is deze verdeling sterk afhankelijk van het aantal apps dat gebruikers installeren. Interessante informatie daarbij is dat het gemiddelde aantal geïnstalleerde apps op 21 ligt, de modus ligt op 9. In alle landen in de top 50 van actiefste landen is de hoeveelheid geïnstalleerde PHA’s in 2016 afgenomen (in twee gevallen gelijk gebleven) ten opzichte van 2015.

Malware-categorieën

Het grootste gedeelte van de potentieel schadelijke app die vanuit en buiten de Play Store worden gedownload, zijn trojans. Dit zijn apps die zich voordoen als legitiem en op de achtergrond acties uitvoeren die schadelijk zijn voor de gebruiker, zoals het versturen van premium-sms’jes. Het aantal trojan-apps is echter wel enorm afgenomen het afgelopen jaar, doordat Google het afgelopen jaar de Ghost Push-malware-familie succesvol aangepakt heeft.

Er was ook een grote afname in het aantal phishing-apps, omdat Google zich geconcentreerd heeft op de aanpak van malware die uit is op inloggegevens voor sociale netwerken. De voorbeelden die het bedrijf daarbij noemt, benadrukken wederom dat niet alle mogelijk schadelijke apps daadwerkelijk schadelijk zijn. Zo was er volgens Google een wildgroei aan apps die het mogelijk maakten om muziek af te spelen van het Russische sociale netwerk VKontakte, nadat deze mogelijkheid uit de officiële app gehaald werd. Daarvoor moesten gebruikers inloggen, waarbij de inloggegevens naar de servers van de app-makers gestuurd werden. Ondanks dat de ontwikkelaars vermoedelijk in veruit de meeste gevallen geen kwaad in de zin hadden, bracht dit toch gevaren voor de gebruikers mee, waarna Google de apps geblokkeerd heeft en heeft aangemerkt als PHA.

Waar de meeste malware-categorieën een afname zagen in 2016, nam het aantal apps dat zich schuldig maakt aan sms-fraude toe. Deze toename is grotendeels toe te schrijven aan een paar applicaties en concentreerde zich voornamelijk in Thailand, Rusland, Duitsland en Maleisië. In Thailand ging het om apps die het mogelijk maakten om achtergrond te downloaden. Gebruikers van deze apps meldden zich aan voor een dagelijkse premium-sms-dienst, maar hadden dat niet in de gaten. Volgens Google waren de voorwaarden dusdanig onduidelijk, dat deze (anders mogelijk legale) apps als PHA werden aangemerkt. In Rusland en Duitsland werden gebruikers slachtoffer van een malwarefamilie met de naam WallySMS, waarbij premium-sms’jes werden verstuurd door apps die zich voordeden als onder andere launcher-verbeteringen.

Gevaarlijke malware

Veel malware die gemaakt wordt voor mobiele apparaten staat niet op zichzelf. De schadelijke apps worden zo gemaakt dat ze in verschillende vormen, bijvoorbeeld met verschillende app-namen of legitiem lijkende apps, gepubliceerd kunnen worden. Op deze manier wordt detectie lastiger gemaakt. Het afgelopen jaar kwam Google een aantal van dit soort grote malware-families tegen.

Chamois

Halverwege maart gaf Google al een voorproefje van zijn Security Year in Review-rapport door te berichten over de Chamois-malware-familie. Chamois piekte in juli en augustus 2016 en bleek gebruik te maken van bijzonder geavanceerde technieken om detectie te voorkomen. De malware bestaat uit verschillende fasen die telkens een versleutelde volgende fase laden. Dit proces maakt het lastig om de kwaadaardige bedoelingen van apps in de malware-familie te achterhalen.

Chamois gebruikte onder andere schermen die gebruikers over moesten halen per ongeluk te klikken op advertenties en op deze manier werden inkomsten voor de malwaremakers gegenereerd. Daarnaast werden ongewenste apps op de achtergrond geïnstalleerd om premium sms’jes te versturen en de activiteiten van de Chamois-app zelf te verbergen. 

Turkish Clicker

De Turkish Clicker malware-familie is een hardnekkig probleem voor Google. Deze familie was voornamelijk te vinden ín de Google Play Store en dook voor het eerst op in 2014. In eerste instantie verschenen de malware-apps in deze familie als Turkse gratis film-apps en later ook apps over populaire games. De makers van Turkish Clicker verdienden door de malware op de achtergrond websites te laten bezoeken en door middel van een scriptje virtueel op advertenties op die websites te laten klikken. In sommige gevallen werd door het klikken op (kwaadaardige) advertenties een andere malware-app gedownload, maar de gedownloade apps werden niet automatisch geïnstalleerd.

De schadelijkheid van Turkish Clicker voor de gebruiker valt dus mee, maar toch heeft Google de malware-familie grotendeels uitgeroeid. Dat was een lastige klus, aangezien de makers van Turkish Clicker de malware voortdurend aan bleven passen. Daarnaast werden in twee jaar tijd ruim 1100 ontwikkelaarsaccounts aangemaakt voor de Play Store met behulp van gestolen creditcard-informatie. 

Ghost Push en HummingBad

In 2015 was Ghost Push een groot probleem voor Android en deze malware-familie is het afgelopen jaar geëvolueerd. In eerste instantie probeerde Ghost Push voornamelijk op de achtergrond andere (malware)apps te downloaden, maar later gooide Ghost Push het over een andere boeg door root-toegang te verkrijgen op toestellen. Op deze manier kon Ghost Push app op de achtergrond installeren zonder dat de gebruiker dat in de gaten had. Het ging dan om apps waarbij advertentienetwerken betaalden per installatie.

Volgens Google is Ghost Push, dat voornamelijk in Zuid-Oost Azië actief was, zelf zo goed als uitgeroeid, maar zijn de makers nog wel actief.  Ghost Push zou in verschillende varianten zijn opgesplitst om detectie te voorkomen. Google geeft aan dat deze varianten in de gaten worden gehouden en worden geblokkeerd, maar dat het bedrijf daar nu geen verdere mededelingen over kan doen. In 2015 had Google al 40.000 unieke apps in de Ghost Push-familie geïdentificeerd, dat aantal was in november 2016 opgelopen tot 150.000. 

HummingBad is een andere malware-familie die opereert als Ghost Push. De malware probeert toestellen te rooten en vervolgens andere apps te installeren en hier reclame-opbrengsten voor op te strijken. In tegenstelling tot Ghost Push was HummingBad vrijwel uitsluitend buiten de Google Play Store actief, wederom in Zuid-Oost Azië.

Gooligan

Gooligan is een andere variant op Ghost Push. Deze variant kwam in november 2016 naar buiten. Met behulp van beveiligingsbedrijf Checkpoint kwam Google Gooligan op het spoor. Net als Ghost Push gebruikte Gooligan bekende kwetsbaarheden om root-toegang te krijgen op toestellen. Daarna werden toegangstokens buitgemaakt voor Google-accounts. Hiermee kunnen kwaadwillenden misbruik maken van Google-accounts.

Volgens Google werden de toegangstokens gebruikt om valse app-reviews achter te laten in de Google Play Store en om apps te installeren zonder de toestemming van de gebruiker. Door de hogere ratings en door download-aantallen zo te vergroten, kunnen apps in toplijsten terecht komen. Dit is vervolgens weer goed voor het aantal normale downloads. De toegangstokens die buit zijn gemaakt, zijn onklaar gemaakt. De verspreiding van Gooligan, die voornamelijk buiten de Play Store om verliep, is zo goed als gestopt doordat Verify Apps automatisch de installatie blokkeert.

DressCode

De vreemdste van de grote PHA-families die Google in zijn beveiligingsrapport omschrijft is de DressCode-familie. Google geeft aan ruim 1100 verschillende apps te hebben geblokkeerd die onder DressCode vallen. DressCode is voornamelijk via de Google Play Store verspreid, maar de installatie van en verspreiding van DressCode-apps is volledig gestopt doordat Google de apps filtert.

Het vreemde aan DressCode is dat deze PHA-familie geen gebruik maakt van kwetsbaarheden in Android. De apps proberen geen root-toegang te verkrijgen of apps op de achtergrond te installeren. Het enige wat de apps doen, is een verbinding opzetten met het lokale netwerk. Google heeft geen kwaadaardig gedrag bij DressCode ontdekt, maar het was wel mogelijk om op afstand nieuwe instructies te ontvangen. Daarnaast is niet duidelijk waarom deze lokale verbinding opgezet werd.

Conclusie

Het afgelopen jaar is de hoeveelheid malware en andere schadelijke apps op Android flink afgenomen, maar malwaremakers blijven hun strategie aanpassen om detectie te voorkomen. Voor Google blijft het de komende jaren nog een kat-en-muis-spel. Daarnaast maakt Google zich zorgen over de dataverzameling door legitieme apps, die bijvoorbeeld gebruik maken van advertentienetwerken die meer persoonlijke informatie verzamelen dan wenselijk is. Het bedrijf gaat daar in 2017 dan ook meer aan doen, naast het bestrijden van schadelijke apps.

Lees ook het eerste deel van deze tweedelige artikelserie, waarin we bespreken hoe Google Android-toestellen probeert zo veilig mogelijk te houden.