Onderzoekers hebben in Google Play verschillende kwaadaardige apps ontdekt die een recent gedicht beveiligingslek gebruiken om andere malware te installeren, zo meldt anti-virusbedrijf Trend Micro. Het gaat om een kwetsbaarheid die in september jongstleden door Google werd gepatcht.

Via de kwetsbaarheid kan een kwaadaardige applicatie op het toestel een zogeheten 'overlay- aanval' uitvoeren zo legt Trend Micro uit. Via een overlay-aanval kan een kwaadaardige app een venster boven een ander venster of app tonen. De gebruiker kan zo nietsvermoedend op een onschuldig lijkende knop klikken die in werkelijkheid ervoor zorgt dat er malware wordt geïnstalleerd of dat de app hogere rechten krijgt. Normaliter heeft een app hiervoor de "draw on top" permissie nodig.

Het bleek echter ook mogelijk zijn om overlays zonder deze permissie te tonen. Hierbij wordt er gebruik gemaakt van een zogeheten Toast-overlay. De Toast-overlay wordt vaak gebruikt om een snelle notificatie boven andere apps te tonen, zoals het bericht dat er een e-mail als draft is opgeslagen. Onderzoekers van Palo Alto Networks ontdekten dat het Toast-venster ook voor een overlay-aanval kan worden gebruikt, zonder dat hierbij om aanvullende permissies wordt gevraagd.

Het is volgens Trend Micro voor het eerst dat er kwaadaardige apps zijn ontdekt die het in september gepatchte Android-lek voor een overlay-aanval gebruiken. De malafide apps doen zich onder andere voor als 'app locker' die zogenaamd de applicaties van de gebruiker met een pincode beveiligt. De apps vragen gebruikers toegankelijkheidspermissies, die voor de werking nodig zouden zijn. Nadat de permissies zijn verkregen lanceren de apps een venster om de apps op het toestel te 'analyseren'. Achter de schermen installeren de apps echter aanvullende malware en voeren andere acties uit.

Eén van de ontdekte apps was tussen de 100.000 en 500.000 keer geïnstalleerd. Na te zijn ingelicht heeft Google de apps uit de Play Store verwijderd. Aangezien de aanval via het beveiligingslek in Android mogelijk is krijgen gebruikers het advies om de laatste beveiligingsupdates te installeren als die beschikbaar zijn. Bij Android-toestellen met een patchniveau van 2017-09-01 of recenter is het probleem verholpen. Trend Micro heeft een pdf gepubliceerd met de apps die van de kwetsbaarheid misbruik maakten.