Malware in populaire Android-apps: hoge kosten voor waardeloze abonnementen

Heb jij een Android-telefoon? Lees dan verder: het Amerikaanse cybersecuritybedrijf Zimperium heeft onlangs een nieuwe vorm van malware ontdekt die gericht is op Android-gebruikers. Deze zogenaamde Dark Herring-malware heeft als vervelende eigenschap dat het gebruikers ongemerkt probeert op te zadelen met dure abonnementsdiensten, en mogelijk zijn vele miljoenen mensen slachtoffer geworden. In dit artikel leggen we uit hoe het werkt, om welke apps het gaat én hoe je kunt controleren of je onbedoeld op dure diensten bent geabonneerd via je telefoonrekening.

Deze nieuwe Android-malware zat verstopt in bijna 500 apps die gezamenlijk meer dan honderd miljoen keer zijn gedownload uit de Google Play Store en via enkele zogenaamde third party-aanbieders. Zimperium meldt op hun blog dat het wereldwijd zou kunnen gaan om 105 miljoen slachtoffers in 70 landen, waaronder Nederland. De onderzoekers stellen daarnaast dat er mogelijk honderden miljoenen dollars aan de zwendel is verdiend. 

Het gaat om een geavanceerd stuk malware dat bijna twee jaar lang onopgemerkt zijn werk kon doen, en dat verklaart voor een groot deel waarom de malafide apps zo vaak zijn gedownload. De eerste app waar deze malware in is aangeboden, blijkt al in maart 2020 in de Play Store te zijn gezet. Zimperium heeft niet eerder een malwarecampagne met zo'n lange looptijd ontdekt: het is de ontwikkelaars dus gelukt om uitzonderlijk lang onder de radar te blijven.

Miljoenen potentiële slachtoffers en torenhoge schade dus, aldus Zimperium. Het zijn indrukwekkende, schrikbarende cijfers. Het is echter goed om daar een kanttekening bij te plaatsen, want het genoemde schadebedrag en het aantal potentiële slachtoffers gaat alleen op in het slechtst mogelijke scenario, waarin er van iedereen die een malafide app heeft gedownload ook daadwerkelijk geld is ontfutseld. 

Daar komt nog wel iets meer bij kijken, want alleen downloaden is gelukkig niet genoeg. Maar hoe gaat dat dan precies in zijn werk?

Zimperium beschrijft de malware als scamware, wat vrij vertaald neerkomt op 'software die gemaakt is om mensen mee op te lichten'. Een term die ook regelmatig wordt gebruikt om dit fenomeen mee te duiden is fleeceware, en dat betekent vrij vertaald 'software die gemaakt is om mensen geld mee uit de zak te kloppen'. 

Welke term je ook kiest, waar het in ieder geval op neerkomt, is dat het gaat om malware die bewust op een zo onopvallend mogelijke manier in allerlei apps wordt verstopt. Daar zijn meerdere redenen voor: niet alleen hopen de ontwikkelaars zo de controle van de Google Play Store te omzeilen, het doel is van de malware is om jou als gebruiker op hoge kosten te jagen, als het even kan zonder dat je het merkt. 

In dit specifieke geval gebeurt dat door gebruikers van de malafide apps te vragen om hun telefoonnummer in te voeren, zogenaamd om een aanmelding te bevestigen of een account te verifiëren.

Ga je daarmee akkoord? Dan wordt er direct een abonnement afgesloten op vage, waardeloze sms-diensten waar gemiddeld 15 dollar per maand in rekening voor wordt gebracht. Dat zijn overigens diensten waar je helemaal niks aan hebt, en de kosten krijg je bovendien niet los gefactureerd. Het abonnementsgeld wordt simpelweg opgeteld bij de telefoonrekening, en daardoor stijgt de kans dat je het bedrog pas na enkele maanden ontdekt. 

En dan ben je eigenlijk al te laat: zie het reeds betaalde geld dan nog maar eens terug te krijgen. Het venijn zit 'm in dit geval in de kleine lettertjes: als je je nummer invoert zonder de voorwaarden goed te lezen, geldt dat in principe als een akkoord, ook al staat er geen noemenswaardige tegenprestatie tegenover en betaal je maandelijks in feite voor niets.

Het gaat zoals gezegd om geavanceerde malware, en één van de kenmerken is dat de malware op basis van jouw locatie in staat is om je een min of meer gepersonaliseerd inlogscherm te tonen zodra je een met deze malware geïnfecteerde app opent.

Hoe werkt dat in de praktijk? Simpel gezegd: detecteert één van deze malafide apps dat jij vanuit Nederland verbinding maakt? Dan krijg je bij gebruik van zo’n app  een inlogscherm te zien in het Nederlands.

De achterliggende gedachte is dat mensen dan eerder geneigd zijn om het te vertrouwen omdat ze denken dat het gaat om een app van een lokale ontwikkelaar. En vervolgens is de kans een stuk groter dat mensen hun gegevens invoeren of akkoord geven op iets waar ze achteraf spijt van krijgen.

Wat verder opvalt, is dat het niet alleen gaat om een groot aantal apps – volgens Zimperium circa 470 stuks – maar dat deze apps verdeeld waren over allerlei categorieën.

Van spelletjes tot fotografie-apps, van handige hulpmiddelen tot apps met filmpjes en entertainment, de malware werd bewust over zo veel mogelijk soorten apps verspreid, en ook daarvan is het doel helder: de poel van potentiële slachtoffers moest zo groot mogelijk.

Maar hoe groot is het probleem nou écht? Is er ook in Nederland sprake van een enorm aantal slachtoffers? En hoe groot is de kans dat jij één van deze kwaadaardige apps hebt gedownload?

Het is in dit geval lastig om een concreet getal te noemen. Het aantal potentiële slachtoffers is namelijk niet uitgesplitst over het aantal landen waar de malware is aangetroffen, en dat komt doordat onderzoekers van Zimperium in zekere zin ook een schatting doen door zich te baseren op informatie als het totale aantal downloads per app. Het is echter niet mogelijk om te zien hoeveel gebruikers per land een bepaalde app hebben gedownload.

Wil je weten of jij toevallig één van deze apps hebt gedownload? Dat kun je gelukkig controleren. Om voor de hand liggende redenen zullen we hier geen lijst met honderden apps plaatsen. Dat hoeft gelukkig ook niet, want deze zijn door Zimperium al op een rijtje gezet.

Via deze link kun je de lijst raadplegen. De lijst is gesorteerd op volgorde van het aantal downloads, dus de meest gedownloade apps staan bovenin. 

Goed om te weten: alle geïnfecteerde apps zijn inmiddels door Google uit de Play Store verwijderd, dus daar kun je ze inmiddels niet meer vinden. Maar als je ze in een eerder stadium hebt gedownload, doen ze mogelijk nog steeds hun werk. Daarnaast is het in theorie mogelijk om ze via zogenaamde third party-stores te downloaden, en dat wordt ook wel sideloading genoemd. 

Voor de meeste doorsnee gebruikers is sideloading in de regel eigenlijk niet noodzakelijk: de optie om apps buiten de Google Play Store om te kunnen installeren, staat standaard uitgeschakeld en het valt in de meeste gevallen niet aan te raden om deze instellingen te wijzigen. 

De uitzondering op deze regel is als je er echt honderd procent zeker van bent dat je de ontwikkelaar van een bepaalde app vertrouwt. Mensen met een bovengemiddelde technische kennis van Android weten doorgaans ook wel hun weg met apps die buiten de Google Play Store om kunnen worden geïnstalleerd, maar doorsnee consumenten lopen onnodig risico: de kans wordt simpelweg groter dat je jezelf onbewust blootstelt aan apps met allerlei ongewenste neveneffecten.

Dat is eenvoudig: controleer je telefoonrekening! Ontwikkelaars van dit soort malware rekenen erop dat je deze niet maandelijks controleert, omdat je zelf ook wel weet wat de maandelijkse kosten van jouw telefoonabonnement zijn. Daarom zijn dit soort stiekeme, verborgen abonnementen in theorie best lucratief: het kan immers een tijdje duren voordat gedupeerden merken dat er iets niet in de haak is.

Op je telefoonrekening kun je zien of daar sprake van is. Staan er op je telefoonrekening kosten gespecificeerd met de tekst 'FTMSC' in de omschrijving, of anders iets als 'Diensten mobiel internet'? Dan betaal jij voor een abonnement waarvan de kosten aanvullend via jouw telefoonrekening worden gefactureerd: dat gaat dus om de extra kosten waarvan je in eerste instantie mogelijk niet eens weet dat je ze maakt.

Ook dat is vrij snel geregeld. In Nederland bestaat de Stichting Gedragscodes Mobiele Diensten, een gezamenlijk initiatief van alle telecomproviders die hun diensten aanbieden in Nederland. Zij hebben de website Payinfo.nl opgericht, naar eigen zeggen een dienst waarmee je "jouw betaalde mobiele abonnementen kunt inzien én afmelden". Het werkt als volgt:

- Ga naar de website;
- Voer je telefoonnummer in;
- Bevestig de inlogpoging door de code die je via sms krijgt in te voeren;
- Bekijk je betalingen en klik op 'details' om je af te melden. Nergens op geabonneerd? Dan zie je de tekst "Geen transacties gevonden voor telefoonnummer"

En wordt er na het installeren van onbekende apps gevraagd om een account te maken, ergens in te loggen, je telefoonnummer te bevestigen of andere handelingen te verrichten voordat je de app kunt gebruiken? Lees de algemene voorwaarden en de kleine lettertjes altijd even goed door, voordat je onbedoeld ergens toestemming voor geeft waar je later spijt van krijgt.

Bron: Payinfo.nl / Zimperium