Android-telefoons zijn via malware eenvoudig door een buitenstaander te controleren. Met een paar simpele stappen kan de telefoon bijvoorbeeld ongevraagd foto's en geluidsopnames maken. Regelmatig duiken er apps op die malware blijken te bevatten die de hele telefoon besmet.

Hoe makkelijk zo'n geïnfecteerde app te maken is, laat TNO-onderzoeker Gerben Broenink zien. Broenink zal op 15 en 16 april een demonstratie geven in de Innovation Room tijdens de Global Conference on Cybersecurity. Binnen 20 minuten heeft 'ie een hele telefoon overgenomen, na wat simpel knip- en plakwerk. Hij download een bestaande app ('bijvoorbeeld Angry Birds', stelt Broenink voor) en gebruikt een APK-programma om de app te decompileren. Zo komt de programmeercode van de app bloot te liggen. Vervolgens pakt hij een stukje standaardmalware dat hij van te voren gedownload heeft en kopieert een deel van die kwaadaardige code in de app. Daarna is het een kwestie van de metadata aanpassen, die beïnvloedt welke delen van de programmatuur gebruikt moeten worden, en een nieuwe handtekening aan de app meegeven.

'Download nooit apps uit onbetrouwbare appwinkels'

Die laatste stap zorgt er wel voor dat de app als 'onofficiëel' te herkennen is. Is het niet de handtekening van de makers van Angry Birds, dan kunnen er alarmbellen gaan rinkelen. Maar het is niet snel te merken. Als laatste deel van de demonstratie upload Broenink de geïnfecteerde app naar een appstore en download hij vanaf die winkel de app op een telefoon. Een paar minuten later neemt de telefoon ongevraagd foto's en geluidsopnamen; helemaal overgenomen door de malware in de nep-Angry Birds. Zo simpel is het om een toestel over te nemen en uitgebreide spionage mogelijk te maken.

'Je hebt er wel gedegen IT-kennis voor nodig, maar het is niet alsof alleen de NSA dit kan', vertelt Broenink. 'De gebruikte malware behoort tot het standaardarsenaal van hackers'. Het feit dat het in 20 minuten gedemonstreerd kan worden laat ook zien hoe snel en eenvoudig een telefoon over te nemen is. Aangezien de meerderheid van de smartphones tegenwoordig een Android-toestel is, vormt die malware een groot probleem.

Schimmige winkel

Het is echter niet zo dat elke download een potentiëel gevaar vormt. De officiële appstore van Android, Google Play, heeft een zekere controle over de apps. Hoewel er in het verleden af en toe met malware besmette apps op Google Play kwamen, is het duidelijk dat Google af en toe het app-aanbod inspecteert. Zo loopt een geïnfecteerde app de kans om betrapt te worden. Bij de app store van Apple is dit probleem kleiner, omdat daar de apps worden gecontroleerd vóór ze in de winkel terechtkomen. Google controleert pas nadat een app in de winkel staat, maar wordt wel steeds beter in het snel opsporen van malware. Vandaar dat Broenink voor een zogenoemde third party store kiest. Verschillende bedrijven bieden een alternatief voor de appwinkel van Google; onder andere webwinkel Amazon heeft haar eigen Android-winkel.

Er zijn echter ook veel schimmiger winkeltjes, die proberen mensen te lokken met gratis apps die elders geld kosten. 'Daarbij moet je je als gebruiker afvragen wat die winkel eraan heeft. Vaak is het antwoord dat ze je gegevens proberen te stelen', aldus Broenink. De malware is volgens hem een fundamenteel probleem, omdat één vergissing de telefoon meteen volledig kan infecteren. Bovendien is het lastig te bestrijden; er zijn wel virusscanners, maar die sporen lang niet alles op. 'Vaak hebben die scanners ook geen toegang om in andere apps te rommelen. Dan is het lastig om te zien dat er één app is die de camera of voice recorder bedient.' Hij raadt mensen met een Android-toestel dan ook aan om nooit iets te downloaden uit een onbetrouwbare appstore. En hij raadt legitieme appmakers aan om met enige regelmaat de populairdere onofficiële appstores af te struinen. 'Dat is niet alleen goed voor hun intellectueel eigendom, het beschermt ook de gebruikers. Daar heeft iedereen baat bij.'