adware

Google meldt dat het een 'fraud botnet' van kwaadaardige adware heeft geïdentificeerd dat zich richt op Android-apparaten. Het gaat om een adwarefamilie die Google de naam Chamois heeft gegeven en die maatregelen nam om niet op te vallen.

Google meldt dat het Chamois tegenkwam tijdens een routinecontrole. Daarbij gaat het om een zogenaamde potentially harmful applications, oftewel pha. Volgens de zoekgigant was Chamois 'een van de grootste Android-pha's tot nu toe die werd verspreid door meerdere kanalen'. Het doel van de adware was om verkeer via pop-ups te genereren en andere apps op de achtergrond te installeren. Daarnaast was de software in staat om aanvullende plug-ins te downloaden en sms-berichten naar betaalde nummers te sturen.

De apps binnen de Chamois-familie namen verschillende maatregelen om niet op te vallen. Zo was het voor de gebruiker niet zichtbaar dat een dergelijke app op het systeem was geïnstalleerd. Daarnaast voerde de software zijn code uit in vier verschillende stappen om kwaadaardige gedeeltes van de code te verbergen. Daarvoor maakte Chamois gebruik van obfuscation-technieken en sloeg het configuratiebestanden op in een versleutelde opslag.

In totaal bevatte Chamois meer dan 100.000 regels aan code en leek te zijn geschreven door professionele ontwikkelaars. Google zegt dat de Verify Apps-functie van Android aan de verwijdering van de adware heeft bijgedragen. Zo wijst de functie een zogenaamde doi-score toe aan apps, waaraan te zien is of deze een mogelijk risico vormt voor gebruikers. Hoeveel apps deel uitmaakten van de Chamois-familie maakte Google niet bekend.

Het is onbekend hoe Chamois op Android-apparaten terechtkwam. Omdat het verwijderen van de apps via Verify Apps ging, is in elk geval bekend dat apparaten met deze adware Google Play Store aan boord hebben. De apps kunnen echter ook via een alternatieve downloadwinkel of sideloading op de apparaten zijn beland.

Reacties mogelijk gemaakt door CComment