Android-app met Facestealer-trojan verwijderd uit Play Store

Nog een maand, nog een Android-app-verwijdering in de officiële Google Play Store. Deze keer was de dader een applicatie die zich voordeed als een onschuldige app voor fotomanipulatie, terwijl deze in werkelijkheid gevaarlijke malware bevatte waarmee hackers volledige controle konden krijgen over de Facebook-profielen van slachtoffers.

Fotomanipulatie-app verbergt Facestealer-malware

De app in kwestie heette Craftsart Cartoon Photo Tools en beweerde gebruikers, of liever slachtoffers, de mogelijkheid te bieden om foto's in tekenfilms te veranderen. Iedereen houdt van een beetje gek plezier met hun fotogalerij, en dat is precies waarom deze met malware beladen app zo succesvol was.

Volgens onderzoekers van het Franse mobiele beveiligingsbedrijf Pradeo werd de kwaadaardige app maar liefst 100.000 keer gedownload voordat Google tussenbeide kwam en het uit de Play Store verwijderde.

Het enge aan de app is niet alleen het aantal keren dat het werd gedownload voordat het werd verwijderd. Het meest zorgwekkende zijn de mogelijkheden van de malware die in de app was verborgen. De kwaadaardige fototool was geladen met de Facestealer-trojan. De naam geeft je misschien een idee van wat de trojan doet, zelfs als je er nog nooit van hebt gehoord - hij steelt je Facebook-account.

De schade die door de malware wordt veroorzaakt, kan aanzienlijk zijn, afhankelijk van de informatie op het gecompromitteerde Facebook-account. De Facestealer-malware kan e-mails, echte adressen en IP's pakken, evenals telefoonnummers en zelfs creditcardgegevens als deze zijn ingevoerd en opgeslagen in het Facebook-account. De trojan kan ook alle gesprekken van het slachtoffer openen en lezen via Facebook-berichten.

Dit is niet de eerste keer dat een onschuldig ogende app de Facestealer-trojan droeg. Er zijn in het verleden andere gevallen geweest waarin exact dezelfde kwaadaardige lading verborgen was in andere apps die gelukkig minder downloads kregen.

Facestealer - een recidivist

Net als voorheen is de kwaadaardige code die Facestealer bevat slechts een heel klein stukje van de volledige app. Hierdoor kan de code zich "verbergen" tussen legitieme schone code. Zoals onderzoekers opmerkten, had de app met de malware echte basisfunctionaliteit voor fotomanipulatie, om zowel geautomatiseerde detectie als gebruikers te misleiden.

Het feit dat een app vol malware die gevaarlijke trojans bevat, lang genoeg in de Android Play Store kan blijven zodat 100.000 gebruikers deze kunnen downloaden, is verontrustend, maar het is niet zo duidelijk wat Google kan doen om de winkelbeveiliging te verbeteren en beter te controleren.