Malafide apps maken gebruik van een fout in Android om detectie door mobiele virusscanners te voorkomen, zo hebben onderzoekers van securitybedrijf ThreatFabric ontdekt. Google heeft inmiddels aanpassingen aan de eigen scanner doorgevoerd, maar erkent dat sommige van de tools die het aan ontwikkelaars biedt de apps niet kunnen inspecteren.

Veel malafide apps in de Google Play Store zijn "droppers" die de uiteindelijke malware installeren. Deze malware, verborgen in een APK-bestand, wordt van een andere locatie gedownload. De droppers blijken de APK-bestanden te patchen waardoor Android de code gewoon uitvoert. Tegelijkertijd kunnen tools die het APK-bestand willen inspecteren de code niet uitvoeren en zo de malware niet detecteren.

ThreatFabric rapporteerde het probleem in mei aan Google, zo laat het tegenover it-journalist Brian Krebs weten. Volgens het techbedrijf gaat niet om een kwetsbaarheid in Android, maar besloot de onderzoekers wel een bug bounty van vijfduizend dollar te betalen. Daarnaast voerde Google aanpassingen aan de eigen detectie door.

Verschillende tools die Google aan ontwikkelaars biedt, waaronder APK Analyzer, kunnen de malafide apps niet inspecteren en behandelen ze als ongeldig, terwijl de apps nog steeds op het toestel van gebruikers geïnstalleerd kunnen worden. Google zegt voor deze gevallen nog naar een oplossing te zoeken.

Eén van de malware-exemplaren die de obfuscatietechniek toepast wordt Anatsa genoemd. De ontwikkelaars achter de malware kopen oude, niet meer onderhouden Android-apps op, om vervolgens malafide code toe te voegen. Ook ontwikkelen de criminelen hun eigen apps en laten die eerst een groot aantal gebruikers krijgen voordat de malware wordt toegevoegd.