Bekende open-source Android-spyware verschijnt op Google Play

Sliedrecht, 22 augustus 2019 – ESET-onderzoekers hebben de eerste bekende gevallen ontdekt van spyware gebaseerd op de open-source spionagetool AhMyth. Deze specifieke spyware deed zich voor als een internetradio-app die zeer specifieke muziek uit Beloetsjistan (een landstreek op grondgebied van Pakistan, Iran en Afghanistan) speelde; de spionagefunctionaliteiten kunnen echter eenvoudig ook voor een andere soort app worden gebruikt.

AhMyth, waarvan de internetradio-app zijn kwaadaardige functionaliteiten leende, werd eind 2017 publiek beschikbaar gemaakt. Sindsdien zijn verschillende kwaadaardige apps gebaseerd op AhMyth verschenen. De bovengenoemde app, genaamd Radio Balouch, is echter de eerste van die apps die zijn weg heeft gevonden naar de officiële Android-appstore, Google Play.

ESET Mobile Security voor Android beschermt gebruikers tegen AhMyth en afgeleiden daarvan al sinds januari 2017 – voordat AhMyth publiek beschikbaar werd. “De kwaadaardige functionaliteit van AhMyth wordt niet verborgen, beschermd of verduisterd. Daarom is het niet heel moeilijk om de Radio Balouch-app – en soortgelijke – te identificeren als kwaadaardig en toebehorend aan de AhMyth-familie,” zegt Lukás Štefanko, malwareonderzoeker bij ESET en leider van dit onderzoek.

Nadat ESET de ontdekking aan Google rapporteerde, heeft diens securityteam de Radio Balouch-app uit de store verwijderd. De aanvallers hebben de app echter snel opnieuw aangemeld in de Google Play store. “We hebben ook de tweede keer de aanwezigheid van de malware gedetecteerd en gerapporteerd, waarop de app wederom snel werd verwijderd. Wat wel zorgwekkend is, is het feit dat dezelfde app-ontwikkelaar in staat was deze overduidelijke malware meerdere keren in de store te uploaden.”