Sinds augustus 2010 analyseren experts van G DATA schadelijke codes voor Android. De eerste serieuze bedreiging vormde FakePlayer, die het G DATA SecurityLab in oktober 2010 voor het eerst onder ogen kregen. De schadelijke app was al sinds 5 augustus 2010 actief en bleek na de eerste analyse simpel en verre van foutloos gecodeerd, maar wel zeer effectief in zijn schadelijke werk. Met behulp van een gestolen Windows Media Player-icoon deed hij zich voor als een media player, terwijl hij voor een bedrag van $10 premium sms-berichten verstuurde. Helemaal gezien het luie programmeerwerk dat achter de app schuil ging: nogal gemakkelijk verdiend geld.
In de maanden die volgden, doken er telkens nieuwe varianten op van de FakePlayer. Onze analisten telden er acht in totaal, waarbij steeds een ander app-icoon, een andere app-naam of een ander premium-telefoonnummer werd gebruikt. Maar allemaal werkten ze volgens hetzelfde stramien: tijdens het opstarten van de zogenaamde mediaplayer werd een melding “wordt geladen” in het Russisch getoond, terwijl meerdere sms’jes werden verstuurd naar een premium-telefoonnummer voor een totaalbedrag van $10,-.
Sinds die tijd is er wel het één en ander veranderd. Malware voor Android heeft zich tot een ware vloedgolf ontwikkeld. Waar in 2010 in totaal 55 nieuwe schadelijke programma’s voor Android werden ontdekt, waren dat er in de eerste helft van 2015 meer dan één miljoen. Tussen juli 2010 en juli 2015 onderzochten de analisten van G DATA 3.959.254 nieuwe schadelijke programma’s. Het ziet er voorlopig nog niet naar uit dat het einde in zicht komt.
De huidige kwaadaardige apps beschikken meestal over honderden regels code, heel wat geraffineerder dan de krakkemikkige code van FakePlayer. De apps verbergen slinks hun ware intenties en kwaadaardige acties. Zij communiceren heimelijk via anonieme netwerken met hun server en proberen doorlopend de gebruiker een stuk armer te maken. Ook lijken ontwikkelaars zich steeds sterker te laten inspireren door malwareschrijvers die zich al decennialang richten op Windows. Niet alleen zien we steeds meer trucs in Android-malware opduiken die wij kennen van Windows (denk bijvoorbeeld aan Android-botnets), ook zien wij een bijna fysieke toenadering tot Windows. De eerste multi-platform malware die zijn schadelijk werk zowel op Android- als op Windows-apparaten kan uitvoeren is inmiddels een feit.
Ook zien de experts van het G DATA SecuityLab meer dan ooit tevoren dat de blik van de malafide app-ontwikkelaars op het grote geld gericht is. Mobiel bankieren en online shopping zitten in de lift en dat is cybercriminelen niet ontgaan. Meer dan 50% van de nieuwe malware voor mobiele apparaten in het eerste kwartaal van dit jaar had een direct financieel doel. Door financiële transacties (zoals een overboeking met de mobiele app van de bank, een betaling van een internetaankoop op smartphone of zelfs een betaling met contactloos betalen met de smartphone) aan te vallen, kun je je het kruimelwerk van premium sms-berichten besparen, zo lijken de ontwikkelaars te denken. Bij G DATA verwachten we dan ook dat er in 2015 nog veel meer malware voor Android bijkomt, die zich specifiek op je banksaldo richt.
Een laatste ontwikkeling die de vermelding waard is, is de misbruik die wordt gemaakt van de ogenschijnlijke onbewaaktheid van smartphones die zakelijk worden gebruikt. Nog lang niet alle bedrijven, vooral de kleinere MKB-bedrijven, hebben een effectieve BYOD-policy. De smartphones van hun werknemers zijn dan ook meestal niet beschermd tegen kwaadaardige apps, terwijl de kleine computers meestal wel toegang bieden tot databases, mailboxes en andere bronnen van waardevolle informatie. Hackers en slimme cybercriminelen die uit zijn op waardevolle bedrijfsinformatie richten zich bij voorkeur op de slecht beveiligde mobiele apparaten van werknemers. Bescherming hiertegen hoeft niet ingewikkeld of duur te zijn: AV Test toonde deze maand nog aan dat veel van de beveiligingspakketten die voor Android verkrijgbaar zijn, goed in staat zijn om 100% van de kwaadaardige apps buiten de deur te houden.
Dirk Cools, Country Manager G DATA Benelux
