Onderzoekers hebben voor het eerst kwaadaardige Android-apps ontdekt die misbruik van het MasterKey-lek maken om smartphones en tablets met malware te infecteren. Eerder deze maand werd in zo'n 900 miljoen Android-toestellen een lek ontdekt waardoor aanvallers kwaadaardige code in legitieme Android-apps kunnen injecteren, zonder dat de digitale handtekening verandert.

Volgens Symantec is de kwetsbaarheid zeer eenvoudig te misbruiken en is het daardoor ook waarschijnlijk dat cybercriminelen dit zullen doen. Het anti-virusbedrijf heeft nu de eerste apps genaamd Android.Skullkey ontdekt die misbruik van het MasterKey-lek maken. Het gaat om twee legitieme applicaties die op een Chinese Android-marktplaats werden aangeboden.

Malware
De apps zijn bedoeld voor het maken van afspraken bij een dokter en als hulp bij het zoeken. De aanvaller heeft de apps voorzien van code waardoor hij gevoelige informatie zoals IMEI en telefoonnummers kan stelen, sms-berichten naar dure telefoonnummers kan sturen en verschillende Chinese mobiele virusscanners kan uitschakelen.

Symantec verwacht dat er nog meer apps zullen verschijnen die het lek misbruiken. Google heeft inmiddels een update uitgebracht, maar die moet nog door fabrikanten en telecomaanbieders worden uitgerold. Daarnaast scant de zoekgigant op dit moment alle apps op Google Play op dit probleem.

Verder heeft Bluebox Security, dat als eerste het lek ontdekte, een gratis app gemaakt die controleert of het Android-toestel in kwestie gepatcht is. Voor geroote smartphones is er daarnaast een onofficiële patch verschenen. Ook een aantal mobiele virusscanners kan de aanval inmiddels herkennen.