We horen de afgelopen jaren steeds meer over malware in Android-apps. Maar is dat nou echt een risico voor de gemiddelde Android-gebruiker?

Een bezoek van NUtech aan het Symantec Security Response Center in Dublin toont in ieder geval dat het kinderlijk eenvoudig is om malware in een app te injecteren. Onderzoeker Mario Ballano toonde daar tijdens een demonstratie hoe hij binnen enkele minuten een app besmet.

Als je een Android-app downloadt, haal je een .apk-bestand binnen. Dat is eigenlijk gewoon een zip-bestand dat bij de installatie wordt uitgepakt.

Zo'n bestand kun je ook op een pc uitpakken, om vervolgens in de code te duiken. Het injecteren van kwaadaardige code is vervolgens een kwestie van een map in een andere map plakken. Ballano plakt zo een stuk kwaadaardige code in een verder onschuldig spelletje.

Voor de demonstratie gebruikt Ballano de malware Geinimi, die Android-apparaten onderdeel maakt van een groot botnet. Geinimi werd al in 2010 opgemerkt en verscheen nog voordat de golf Android-malware echt op gang kwam.

Toestemming

Android-apps draaien in een zogenoemde 'sandbox'. Dat betekent dat de apps niet toegang hebben tot alle bestanden op je telefoon, maar draaien in een soort afgesloten omgeving. Wil de app daarbuiten treden, dan moet toegang worden gevraagd.

Omdat de Geinimi-malware meer verschillende aspecten van de telefoon wil besturen dan de game waar de code tijdens de demonstratie in wordt verwerkt, moeten de toestemmingen die de app vraagt nog worden aangepast. Door een bestand aan te passen vraagt de game bij installatie nu ook om de sms'jes van de gebruiker te lezen, en om nagenoeg elke andere toestemming die Android maar kan geven.

Vervolgens wordt de app weer ingepakt als .apk-bestand. Android-apps kunnen alleen worden geïnstalleerd als ze zijn voorzien van een certificaat van de ontwikkelaar.

Vervolgens kan de app worden verspreid. Wie de app nu installeert - en de permissies geeft die bij het installeren worden gevraagd - maakt direct deel uit van het botnet. Zo kan de telefoon worden ingezet om een site te bezoeken of sms'jes te sturen. Ook kan op afstand informatie over de telefoon worden opgevraagd, allemaal met simpele commando's in een opdrachtprompt.

Betekent dit dat Android één groot beveilingingsrisico is? Nee, zegt Ballano. De voornaamste methode om Android-malware te verspreiden is buiten appwinkels als Google Play om. Meestal gebeurt dit via het plaatsen van .apk-bestanden op filesharing-sites. 

Veel malware komt op Android-apparaten terecht als gebruikers proberen betaalde apps gratis van een filesharing-site te halen. Mensen gaan op zoek naar gratis downloads, maar komen terecht bij bestanden die zijn geïnfecteerd.

Wie dus wil voorkomen dat hij malware op zijn smartphone of tablet krijgt, doet er goed aan om apps alleen uit Google Play of andere vertrouwde appwinkels, zoals die van Amazon, te downloaden. 

Ook daar komt echter wel eens malware in terecht. Daarom is het ook belangrijk om goed te bekijken welke toestemmingen een app vraagt bij de installatie, zegt Ballano. Wil een simpele app toegang tot je sms'jes, camera, locatie of contacten, terwijl daar geen goede reden voor is? Dan is er mogelijk iets niet in de haak.

Heb ik een virusscanner nodig voor mijn mobiel?

​​