Beveiliger ESET ontdekte de apps. “We kregen deze week via onze beveiligingssoftware op de telefoons van klanten meldingen binnen van iets verdachts en zagen dat het om apps ging die vanuit de Google Play Store waren gedownload. Toen zijn we het gaan onderzoeken”, zegt Dave Maasland, directeur van de Nederlandse tak van het bedrijf.

Onopvallend

De ‘vuile apps’ hadden namen als World News, Clear Android en Cleaner for Android. De apps waren bewust zo gemaakt en genoemd om niet op te vallen. Ze vroegen geen bijzondere machtigingen bij het downloaden en installeren en werkten in eerste instantie precies zoals verwacht. “Ze hadden allemaal ook nog een beoordeling van vier of vijf sterren”’, voegt Maasland toe. Het maakte dat de apps er vertrouwd uitzagen.

Maar ongemerkt installeerden de apps een virus, een gecodeerde lading die een andere lading ophaalde. Vervolgens werd het besturingssysteem van de telefoon naar een bepaald internetadres geleid om daar een andere app te downloaden. Die app wachtte vervolgens vijf minuten, om geen argwaan te wekken. Daarna kreeg de getroffen gebruiker een verzoek om Android te updaten of om Flash Player te installeren.

“Dat opbouwen van het virus in fases is echt heel slim. De makers hebben goed bekeken hoe malware zich ontwikkelt in bijvoorbeeld een Microsoftomgeving. De apps hielden zich stil en wachtten op een commando van de gebruiker”, zegt Maasland. Daardoor omzeilden de apps de eerste controles.

In de val

De gebruiker die instemde met het verzoek tot installatie of het doen van een update, kreeg het deksel op de neus. De nieuwe app vroeg allemaal machtigingen en stuurde de gedupeerde naar nepformulieren om gebruikersnamen, wachtwoorden en creditcardgegevens in te vullen. “Uiteindelijk kreeg het virus volledige controle over de telefoon. Hackers konden dan bijvoorbeeld het sms-verkeer meelezen, waaronder de sms’jes met inlogcodes van je bank. Ook kon er een soort van laag over je bankiersapp worden geschoven. Je denkt dan dat je codes intikt in de app van je bank, maar die codes gingen rechtstreeks naar de fraudeurs.”

Google verwijderde de apps na de melding van ESET meteen uit haar digitale winkel. Het is niet bekend wie de makers zijn. Ze gebruikten Russische namen, maar dat kan een afleidingsmanoeuvre zijn. Hoeveel wachtwoorden de makers in handen hebben gekregen en of er geld van bankrekeningen is gestolen, is ook niet bekend. “We weten dat een van de links waarheen gebruikers van de apps werden gestuurd om gegevens achter te laten 2.830 keer is bezocht. Daarvan kwamen meer dan 2.600 personen uit Nederland. Maar zeer waarschijnlijk gebruikten de hackers meerdere van dat soort links om mensen heen te sturen. Het kan dus zeker om meer mensen gaan”’, legt Maasland uit.

Verwijderen

ESET adviseert mensen die denken dat ze gedupeerd zijn om hun wachtwoorden te veranderen en op vreemde activiteiten te letten, zoals afschrijvingen, e-mails en inlogpogingen. Ook moeten zij de machtigingen voor de apps ongedaan maken en deze verwijderen.

“Heel veel Nederlanders gebruiken van die apps om hun toestel op te schonen”, zegt Maasland. “Dat, en het feit dat het zo goed in elkaar zat, verklaart dat deze actie zo groot heeft kunnen worden. Daarnaast zien we onze telefoons helaas nog steeds te weinig als een echte computer. Hoeveel mensen ken jij die een anti-virusprogramma op hun smartphone hebben? Dat zijn er weinig.”