Criminelen hebben een manier gevonden om Googles controle van gesideloade apps door middel van droppers te omzeilen, zo stelt securitybedrijf ThreatFabric. Vorig jaar maakte Google bekend dat het in verschillende landen, waaronder India, Brazilië, Thailand en Singapore, bepaalde gesideloade apps gaat blokkeren. Volgens het techbedrijf zou de maatregel gebruikers tegen fraude moeten beschermen.

"Enhanced fraud protection" zorgt ervoor dat Google Play Protect, de virusscanner van Google, automatisch de installatie van gesideloade apps blokkeert die 'gevoelige permissies' gebruiken. Het gaat dan om permissies die vaak voor het plegen van financiële fraude worden misbruikt. Het gaat om vier permissies (RECEIVE_SMS, READ_SMS, BIND_Notifications en Accessibility) waarmee apps one-time passwords via sms of notificaties kunnen onderscheppen, alsmede de inhoud van het scherm kunnen bekijken.

Google stelt op basis van eigen onderzoek dat de bekendste fraudemalware die deze permissies misbruikt in 95 procent van de gevallen door middel van sideloading is geïnstalleerd. Een bekende methode voor criminelen om malware op Androidtelefoons te installeren is het gebruik van droppers. Het gaat dan om onschuldig lijkende apps die eenmaal geïnstalleerd op de telefoon de uiteindelijke malware downloaden en installeren. Het werd in het verleden vaak gebruikt voor de installatie van bankmalware, waarmee criminelen bankfraude kunnen plegen.

De dropper vraagt gebruikers allerlei permissies om de malware te kunnen installeren, of stelt dat de gebruiker een "update" moet uitvoeren, wat in werkelijkheid de malware is. ThreatFabric stelt dat steeds meer soorten malware via droppers worden geïnstalleerd, ook malware-exemplaren die eerder geen gebruik van deze methode maakten. Het securitybedrijf denkt dat dit een reactie op de controle van Google is.

De dropper-app, die geen risicovolle permissies vraagt, komt door de controle heen. Vervolgens downloadt de dropper-app de uiteindelijke malware. Wanneer geprobeerd wordt om de gebruiker malware te laten installeren kan Play Protect nog steeds een waarschuwing laten zien, maar de gebruiker kan deze wegklikken, aldus ThreatFabric. Het securitybedrijf heeft verschillende soorten malware gezien die hier nu ook gebruik van maken, zoals SMS-stealers en "basic spyware". Volgens de onderzoekers hebben droppers zich ontwikkeld van 'niche tools' voor het installeren van bankmalware tot universele installers voor allerlei soorten malafide apps.