Onderzoekers hebben malware ontdekt die een beveiligingslek in Android gebruikt om stilletjes apps op telefoons te installeren. Het beveiligingslek werd vorig jaar mei door Google gepatcht. De kwetsbaarheid is in telefoons met een patchniveau van "2018-05-01" of later verholpen.

De malware zit verborgen in apps die buiten de Google Play Store om worden aangeboden, zo meldt antivirusbedrijf Doctor Web. Het gaat om legitieme apps waar de aanvallers kwaadaardige code aan toevoegen en vervolgens via populaire third-party Androidstores aanbieden. De malware heeft verschillende doelen, waaronder het plegen van advertentiefraude.

Zo vervangt de malware advertenties die via advertentieplatformen worden getoond door advertenties waarvoor de aanvallers betaald krijgen. Daarnaast maakt de malware gebruik van een kwetsbaarheid in Android-system om systeemactiviteiten uit te voeren. Zodoende is het mogelijk om stilletjes apps te installeren of verwijderen.

Daarnaast gebruikt de malware een andere kwetsbaarheid in Android-system die in december 2017 werd gepatcht. Via dit beveiligingslek kan de malware eerder geïnstalleerde applicaties van kwaadaardige code voorzien. Zodra de apps zijn besmet krijgt de malware toegang tot hun data. In het geval van bijvoorbeeld WhatsApp gaat het dan om berichten van de gebruiker. Wanneer het een browser betreft lopen opgeslagen wachtwoorden risico.

Aangezien de apps normaal blijven werken hoeven gebruikers niets door te hebben. De enige manier om de malware in de aangetaste apps te verwijderen, is het verwijderen van de apps en het installeren van een schone versie via een betrouwbare locatie zoals Google Play.