Spionage-apps herkennen en verwijderen
Spionagesoftware voor Android opsporen en verwijderen
Enkele minuten zonder toezicht zijn al voldoende voor een aanvaller om een spionageapp op je smartphone te verstoppen. Er is wat meer moeite nodig om de infectie op te sporen en het afluisteren te stoppen.
Als je vermoedt dat iemand je bespioneert, moet je eerst controleren of je telefoon geroot is. Op een telefoon die geroot is, kan een aanvaller namelijk een spionagetool zo verstoppen dat je hem met de hier beschreven methoden niet kunt ontdekken, zelfs niet als je de smartphone zelf om een goede reden geroot hebt. Doorzoek je apparaat onder 'Instellingen / Apps' naar tools die meestal voor rooten gebruikt worden. Dat zijn bijvoorbeeld SuperSu, BusyBox, en KingRoot. Met de app RootChecker kun je ook direct controleren of je telefoon geroot is.
De door ons bekeken spionagepakketten mSpy en FlexiSpy gebruiken momenteel geen speciale roottrucs om zich te verbergen. Ze worden met de volgende maatregelen dus ook verwijderd op geroote systemen. Maar dat kan met elke update veranderen en bovendien kan de aanvaller ook ander ongedierte geïnstalleerd hebben dat beter verborgen is. Eigenlijk kun je een geroote telefoon niet langer vertrouwen.
Als je een apparaat dat geroot is terecht niet vertrouwt, heb je twee mogelijkheden. Ten eerste kun je de telefoon zoals hieronder beschreven terugzetten naar de fabrieksinstellingen, waarmee je ook de rootaccess verwijdert en de standaardveiligheidsvoorzieningen herstelt. Deze telefoon is dan weer schoon, maar het systeem opnieuw inrichten gaat tijd kosten.
Een andere mogelijkheid is om het geroote systeem te repareren. Dat kost veel werk, maar je komt beter te weten welke gegevens de aanvaller gestolen heeft. Het is aan te raden er iemand bij te halen die ervaring heeft met geroote systemen. Een inleiding in het sporenonderzoek voor Android vind je via de link op het eind. Hier gaan we er verder niet op in.
Apparaatbeheer
Van hier af aan gaan we ervan uit dat je apparaat niet geroot is en dat alle diagnostische informatie die je opvraagt dus betrouwbaar is. Controleer eerst de apps
voor apparaatbeheer, want die krijgen onder Android bijzonder veel toegangsrechten. Deze zijn te vinden in de instellingen onder 'Beveiliging en locatie / Apps voor apparaatbeheer', dat al naargelang de toestelfabrikant ook te vinden is onder 'Beveiliging / Apparaatbeheerders' of iets dergelijks.
Gewoonlijk zie je hier alleen 'Mijn apparaat' (soms 'Vind mijn apparaat' genoemd) en 'Google Pay' en, afhankelijk van waar je de telefoon voor gebruikt, het mobiele apparaatbeheer van je bedrijf of de vermelding van een mailapp met Exchangetoegang zoals 'Email' van Nine. Zie je hier nog andere apps, dan is dat een sterke aanwijzing voor een infectie. Schakel alle verdachte apparaatbeheerders uit, of in geval van twijfel alles.
Je kunt de apparaatbeheerders hier alleen uitschakelen. Als je ze wilt verwijderen, moet je de bijbehorende apps deinstalleren. Helaas mogen apps hun vermelding in de lijst met apparaatbeheerders willekeurig benoemen, zodat je niet altijd weet welke app erbij hoort. De spionagesoftware mSpy afficheert zichzelf bijvoorbeeld als 'Update Service' en FlexiSpy als 'System Update'. Sommige spionageapps kun je niet deïnstalleren zolang ze als apparaatbeheerder geregistreerd zijn.
Play Protect inschakelen
Vervolgens controleer je de ingebouwde beveiligingsfunctie van Android. Die herkent de meeste malware namelijk. Daarom schakelen aanvallers hem vaak uit. Onder de naam Play Protect controleert Android alle apps op het apparaat, zelfs op oudere versies van Android. Je vindt Play Protect het gemakkelijkste via het hamburgermenu van de app Play Store.
De optie 'Apparaat scannen op beveiligingsdreigingen' moet ingeschakeld zijn en de laatste scan mag maar een paar dagen geleden zijn. Als dat niet zo is, is dat een duidelijke aanwijzing voor een infectie. Als de tweede optie, 'Detectie schadelijke apps verbeteren', is ingeschakeld, verstuurt Play Protect onbekende apps naar Google om ze in de cloud te laten scannen. Dat is zinvol, maar deze optie is standaard uitgeschakeld en dat is dus geen indicatie van een infectie.
Schakel Play Protect en de verbeteringsoptie in en scan alle apps onmiddellijk met de knop Vernieuwen. De spionageapps mSpy en FlexiSpy worden dan gedetecteerd en kunnen volledig verwijderd worden. Daarnaast moet je de volgende controles echter ook uitvoeren.
Omdat de scanner van de Google Play Store veel spionageapps niet accepteert, zijn ze daarin ook niet beschikbaar. De aanvaller moet ze als bestand op de smartphone laden en handmatig installeren. Daarvoor moet hij eerst de blokkade uitschakelen die normaliter apps uit dergelijke vreemde bronnen tegenhoudt.
Bij oudere Androidversies vind je deze blokkade in de instellingen onder 'Beveiliging / Onbekende bronnen' of iets dergelijks. Bij recente Androidversies is er geen centrale blokkade meer, maar sta je gericht toe dat apps zoals FileManager, Browser of Dropbox andere apps kunnen installeren. De lijst met apps vind je in de instellingen onder 'Apps en meldingen / Speciale apptoegang / Onbekende apps installeren' of iets dergelijks. Hier mag bij geen enkele app 'Toestaan' staan.
In beide gevallen betekent een gedeactiveerde blokkade dat er een spionageaanval kan hebben plaatsgevonden. Omgekeerd is een actieve vergrendeling geen garantie voor een schoon systeem, omdat de aanvaller die na installatie van de malware weer kan inschakelen.
Verdachte apps
Vertrouw niet enkel op Play Protect als je verdenkingen koestert, maar controleer alle geïnstalleerde apps. Open daarvoor in Instellingen de optie 'Appmachtigingen'. Meest vind je die onder 'Apps' of 'Apps en meldingen', in veel apparaten via het menu met de drie punten bovenin het venster Apps. Daar bepaal je welke apps toegang hebben tot persoonlijke gegevens.
Hier mogen bij Contacten, Sms, Camera en Locatie geen apps opduiken die je niet hebt geïnstalleerd of waarvan je niet weet wat ze doen. Deïnstalleer onbekende apps, maar noteer wel eerst de naam van het pakket (ook bij de komende verwijderingen) om je werk te documenteren. Sommige apps worden een tweede keer weergegeven met een extra slotpictogram.
Dit is het resultaat van een functie op een aantal Samsung en Xiaomiapparaten, waarmee je apps met een alternatieve configuratie kunt starten.
Dan doorzoek je de lijst met alle geinstalleerde apps op onbekende of verdachte apps. Welke machtigingen een app vraagt, blijkt na tikken op de app. Dat kan een ervaren gebruiker vaak al een eerste hint geven of er iets mis is.
Ook sommige onschadelijke apps kunnen om heel veel machtigingen vragen, bijvoorbeeld omdat de ontwikkelaars twijfelachtige advertentiebibliotheken gebruiken. Slordig, maar vanuit het oogpunt van spionage ongevaarlijk, als je de app tenminste zelf geïnstalleerd hebt. Want dat nu juist deze app een echte kwetsbaarheid heeft en dat een aanvaller nu net daar misbruik van maakt, is onwaarschijnlijk. Aan de andere kant kan het ook geen kwaad om in het kader van dit onderzoek direct alle andere riskante of ongebruikte apps te deïnstalleren.
Een blik op de bron van de app is ook belangrijk, zeker als het installeren vanaf onbekende bronnen werd toegestaan. Nieuwere versies van Android geven dat weer in de detailweergave van de app, onder Machtigingen. Daar staat iets als 'app geladen uit Google Play Store' of 'App geladen door Galaxy Apps' (standaardinstallatie van Samsung). Een app die door de pakketinstaller is geladen, is echter bijzonder verdacht, want die komt uit een onbekende bron. Als je hem niet om een goede reden zelf hebt geïnstalleerd: weg ermee! Omdat niet alle smartphones zo duidelijk aangeven welke apps uit onbe kende bron komen, kun je ter vergelijking een vertrouwde standaardapp bekijken.
Waarschijnlijk krijg je ook loze waarschuwingen, omdat veel fabrikanten apps installeren waarvan het doel onduidelijk is of in elk geval niet blijkt uit de naam. Deze wat spionage betreft ongevaarlijke apps herken je omdat bij Appinfo de knop Verwijderen ontbreekt en je ze in plaats daarvan alleen kunt uitschakelen. Ze zijn over het algemeen onschadelijk, als er tenminste niet al in de fabriek of door een tussenhandelaar malware is geïnstalleerd (zie link op het einde).
Met deze maatregelen kun je de gebruikelijke spionageapps waarschijnlijk wel vinden en van je systeem verbannen. Meer aanwijzingen voor een spionageinfectie vind je in de tabel onderaan op deze pagina. Als je vermoedt dat een gewiekstere aanvaller het op je gemunt heeft en er hardnekkigere malware is geïnstalleerd, voer dan een reset uit naar de fabrieksinstellingen, of neem anders een expert in de arm, want er is malware die zelfs een reset overleeft of in de firmware schuilgaat.
Accounts beveiligen
Als je bang bent dat een aanval succesvol was, neem dan na het schoonmaken van het apparaat aanvullende maatregelen. Ga ervan uit dat je Googleaccount gecompromitteerd is.
Bij https://myaccount.google.com/ deviceactivity zie je welke apparaten je Googleaccount gebruiken en wanneer de laatste toegang heeft plaatsgevonden. Verdachte apparaten verwijder je door te klikken op 'Verwijderen'. Wijzig dan je wachtwoord. Het is aan te raden dan ook de tweestapsverificatie te activeren.
Hetzelfde geldt voor alle andere clouddiensten die je gebruikt: Dropbox, EverNote, Facebook en, heel belangrijk, internetbankieren op de smartphone. Controleer de toegang, verander in geval van twijfel de wachtwoorden, activeer indien mogelijk tweestapsverificatie en verwijder verdachte geregistreerde apparaten.
Bij WhatsApp, Signal en sommige andere messengers dreigt nog een ander gevaar. Ze bieden intussen de mogelijkheid om de app via een browser te gebruiken en zo toegang te krijgen tot al het nieuws en de foto’s. Als die toegang is geïnstalleerd, blijft hij actief, zelfs nadat de telefoon is schoongemaakt. Deze verbindingen vind je bij WhatsApp onder 'WhatsApp Web', bij Signal onder 'Gekoppelde apparaten' en bij Threema onder 'Threema Web'. Verwijder ze allemaal.
Fabrieksinstellingen
Het laatste redmiddel, vooral als het apparaat geroot is, is de factory reset, dus het volledige herstel van de fabrieksinstellingen. Als je vreest dat je apparaat hopeloos besmet en vervuild is, voer je de bovenstaande wachtwoordwijzigingen pas uit na de reset of vanaf een ander apparaat, omdat anders een eventueel nog geïnstalleerde keylogger het nieuwe wachtwoord oppikt. De reset verwijdert alle gegevens van de telefoon, dus breng van tevoren alle belangrijke foto’s, adressen en afspraken in veiligheid en noteer belangrijke aspecten van je configuratie.
Je start de reset via de instellingen bij 'Systeem/Opties herstellen / Alle gegevens verwijderen', op andere systemen mogelijk ook 'Backup en reset / Fabrieksinstellingen herstellen' of iets dergelijks.
Let erop dat je het apparaat opnieuw instelt als een 'nieuw apparaat' en niet bijvoorbeeld vanaf een backup. Anders loop je het risico dat je apparaat direct weer besmet wordt uit de backup. Zorg er ook voor dat je de toegang tot het apparaat blokkeert, via een vingerafdruk, je gezicht of een wachtwoord, maar dan ten minste met een pincode van vier of nog liever zes cijfers. (mdt)
www.ct.nl/softlink/1811088