Misleidende Android-advertenties en waardeloze PDF-lezers staan weer in de schijnwerpers — en experts zeggen dat ze deel uitmaken van een veel groter beveiligingsprobleem in Google Play.
Een vader, een koppige PDF – en vier willekeurige apps
Eerder vandaag publiceerde Android Authority een verhaal dat perfect laat zien hoe verwarrend en riskant Android kan zijn voor niet-technische gebruikers. 1
Het artikel beschrijft een vrij normale situatie:
- Een vader met een mid-range HONOR-telefoon probeert een PDF te openen.
- Zijn telefoon heeft al een ingebouwd kantoorpakket dat PDF’s ondersteunt (WPS Office).
- Het bestand weigert te openen, dus doet hij wat veel mensen zouden doen: hij begint extra PDF-apps te installeren uit de Google Play Store.
- Al snel staat zijn telefoon vol met willekeurige PDF-lezers die er allemaal hetzelfde uitzien en het probleem niet oplossen.
Het verrassende? Hij zocht niet actief in de Play Store naar alternatieven. In plaats daarvan verscheen bij elke poging om het bestand te openen een bericht dat eruitzag als een systeemdialoog:
“Kan bestand niet lezen. Probeer uw PDF-applicatie bij te werken.”
Een grote “Nu bijwerken”-knop stond eronder. Tik erop, en hij werd doorgestuurd naar een nieuwe PDF-app in de Play Store. Installeren. Opnieuw proberen. Dezelfde fout. Nieuwe advertentie. Nieuwe app. En zo verder. 1
Uiteindelijk ontdekte zijn kind (een Android-journalist) de waarheid:
- Het “foutbericht” was een advertentie die werd getoond door het opstartscherm van WPS Office, vermomd als een systeembericht.
- Het verwijderen van WPS Office — en dus het weghalen van dat advertentieoppervlak — zorgde ervoor dat PDF’s weer normaal openden. 1
Er zijn geen wachtwoorden gestolen en geen bankapps overgenomen. Maar dat is vooral geluk. Exact hetzelfde UX-trucje — een nep “los het op”-melding die zich voordoet als officieel — wordt ook gebruikt door banktrojans en volwaardige malwarecampagnes in 2025.
Waarom dit geen “gebruikersfout” is – Android’s advertentie- & app-ontwerp laat mensen struikelen
Het is makkelijk om te zeggen: “Hij had beter moeten weten.” Maar de meeste Android-gebruikers lezen geen beveiligingsblogs en zitten niet op Telegram-kanalen.
Een paar ongemakkelijke waarheden:
- Advertenties kunnen eruitzien als systeemberichten. Google’s eigen advertentiebeleid stelt dat ontwikkelaars geen systeemdialogen mogen imiteren, maar de handhaving is gebrekkig. Advertenties zoals de WPS PDF “update” gaan duidelijk te ver en glippen er toch doorheen. 1
- De Play Store-interface traint mensen om op het verkeerde te klikken. Wanneer je wel in Google Play terechtkomt, zijn de eerste resultaten die je ziet vaak betaalde plaatsingen. Het “Advertentie”-label is piepklein, en gesponsorde vermeldingen zijn bijna exact hetzelfde vormgegeven als echte resultaten. 2
- De app-keuze is overweldigend en repetitief. Zoek op “PDF opener” of “PDF reader” en je ziet pagina’s vol bijna identieke apps met generieke namen, vergelijkbare iconen en gekopieerde beschrijvingen. De “juiste” kiezen wordt een gokspel. 2
En gebruikers hebben het nu al moeilijk. Het grote “Tap, Swipe, Scam”-onderzoek van Malwarebytes dit jaar wees uit dat:
- 44% van de mensen dagelijks een mobiele scam tegenkomt, en
- slechts 15% het er sterk mee eens is dat ze met vertrouwen een scam op hun telefoon kunnen herkennen. 3
Combineer dat met UI-patronen die de grens tussen advertentie en systeemwaarschuwing vervagen, en het is niet verrassend dat iemand op de grote, opvallende “Update”-knop tikt die lijkt te “helpen”.
Het huidige PDF-pop-updrama is slechts het topje van een veel groter Play Store-probleem
De telefoon van de vader stond uiteindelijk vol met waardeloze PDF-apps — vervelend, maar niet rampzalig. Beveiligingsonderzoekers waarschuwen dat precies hetzelfde ontwerp- en advertentie-ecosysteem mensen ook naar malafide apps leidt.
Begin november wees het 2025 Mobile, IoT & OT Threat Report van Zscaler op een ernstig Play Store-probleem dat deze maand nog steeds het nieuws haalt: 4
- 239 malafide Android-apps werden gevonden op Google Play.
- Samen waren ze ongeveer 42 miljoen keer gedownload tussen juni 2024 en mei 2025.
- Detecties van mobiele malware stegen met 67% op jaarbasis, waarbij adware, spyware en banktrojans de boventoon voeren.
Deze apps doen zich vaak voor als:
- PDF-hulpmiddelen
- bestands- of fotobeheerders
- VPN’s of “cleaner”-hulpprogramma’s
- berichten- of productiviteitsapps
Als dat precies klinkt als het soort PDF-hulpprogramma’s die de vader steeds installeerde, is dat precies de bedoeling. In 2025 is de grens tussen “vervelende bloatware” en “steelt je geld” dun — en je kunt die niet betrouwbaar zien vanaf het zoekscherm van de Play Store.
Onderzoekers van Malwarebytes documenteerden een massale advertentiefraude-campagne met de naam “SlopAds” in september:
- 224 kwaadaardige apps op Google Play
- Meer dan 38 miljoen installaties
- Tot wel 2,3 miljard advertentieaanvragen per dag gegenereerd door de geïnfecteerde apparaten voordat Google ze uiteindelijk verwijderde. 5
Ja, Google verwijdert slechte apps. Maar, zoals een recente analyse het verwoordde, wordt de pijplijn gewoon “voortdurend opnieuw gevuld” met verse klonen en nieuwe campagnes. 2
Van nep-PDF-updates tot banktrojans
De “update je PDF-app”-truc is niet alleen een ergernis. Het is al ingezet door serieuze bankmalware.
Anatsa: een nep-PDF-update die je bankgegevens steelt
Beveiligingsonderzoekers van ThreatFabric documenteerden onlangs een campagne waarbij de Anatsa banktrojan werd verspreid via apps in de officiële Google Play Store:
- De malware deed zich voor als een “PDF-update” of documentviewer-helper.
- Eenmaal geïnstalleerd, wachtte het tot slachtoffers hun echte bankapps openden.
- Daarna werd een schermvullende overlay getoond die beweerde dat de bankdienst wegens onderhoud niet beschikbaar was en om inloggegevens vroeg.
- Die inloggegevens werden direct naar criminelen gestuurd, die vervolgens op afstand rekeningen konden leegmaken. 6
De gebruikersinterface ziet er niet uit als een monsterlijke schedel met gekruiste beenderen. Het lijkt op een behulpzaam bericht dat aan de PDF- of bankflow is toegevoegd — precies het soort ontwerp dat de vader van de Android Authority-schrijver misleidde.
N‑Gate: nep-tap-to-pay-meldingen in het wild
Op 18 november waarschuwde de wetshandhavingsgemeenschap van New York voor een nieuwe Android-malware met de naam “N‑Gate.” Wwnytv- Slachtoffers worden verleid om een app te installeren die lijkt op een betaal- of verificatie-app.
- Wanneer ze willen betalen, zien ze een nep tap‑to‑pay of “kaartverificatie” scherm.
- Het invoeren van hun pincode stuurt deze gegevens naar criminelen die bij geldautomaten wachten om uit te cashen.
Opnieuw is de kerntruc identiek: misbruik maken van vertrouwen in systeemachtige gebruikersinterfaces om gevoelige handelingen en gegevens te verzamelen.
Wat Google doet – en waarom het (nog) niet genoeg is
Google negeert het probleem niet. In de periode 2024–2025:
- Strengere verificatie ingevoerd voor sommige ontwikkelaars en regio’s.
- Promootte Google Play Protect als de eerste verdedigingslinie voor het markeren van bekende slechte apps.
- Werkte samen met partners om honderden kwaadaardige apps te verwijderen in grote campagnes zoals SlopAds. 4
Maar verschillende problemen blijven duidelijk op 28 november 2025:
- Advertenties lijken nog steeds te veel op systeemgebruikersinterfaces.
Het beleid van Google verbiedt in principe advertenties die systeemmeldingen nabootsen, maar praktijkvoorbeelden — zoals de WPS PDF “update” — schenden duidelijk de geest van die regels. 1 - De Play Store beloont nog steeds klonen en shovelware.
Zscaler, Malwarebytes en anderen vinden herhaaldelijk bijna identieke hulpprogramma’s met minimale functionele verschillen, waarvan sommige later als fraude of malware worden ontmaskerd. Toch floreren ze dankzij zoekadvertenties en aanbevelingsalgoritmen. 4 - Gemiddelde gebruikers dragen te veel van de last.
Uit onderzoek van Malwarebytes blijkt dat twee derde van de gebruikers aangeeft dat het moeilijk is om oplichting van legitieme berichten te onderscheiden, en slechts een kleine minderheid voelt zich zeker in het herkennen van oplichting. Malwarebytes
Systemen ontwerpen die ervan uitgaan dat gebruikers subtiele “Ad”-labels zullen opmerken of nepwaarschuwingen herkennen, is niet realistisch. - OEM-bloatware blijft nieuwe advertentieoppervlakken creëren.
Veel telefoons, vooral budgetmodellen, worden geleverd met kantoorsuites van derden, cleaners, browsers en “toolboxes” die agressief geld verdienen met interstitial advertenties en pop-ups. Die plekken zijn ideale locaties voor misleidende prompts zoals de neppe PDF-update. 1
De situatie van de vader is mild vergeleken met echte malware, maar het is dezelfde route: verwarrende advertenties → willekeurige “fix”-app → potentiële blootstelling.
Hoe voorkom je de Android PDF-advertentiezwendel (en soortgelijke trucs)
Hier is een praktische checklist die je vandaag kunt volgen — en delen met minder technisch onderlegde vrienden of ouders.
1. Behandel in-app “update”-pop-ups met argwaan
Zie je een bericht als “Kan bestand niet lezen. Probeer je PDF-applicatie bij te werken” met een grote knop in een app:
- Ga ervan uit dat het een advertentie is, geen systeemopdracht.
- Sluit het met de X of de terug-gebaar in plaats van op de actieknop te tikken.
- Als je echt denkt dat je app een update nodig heeft, open dan zelf Google Play, zoek de app op naam en update daarvandaan. 1
2. Geef de voorkeur aan betrouwbare PDF-apps en stel er één als standaard in
Op de meeste Android-telefoons heb je maar één degelijke PDF-oplossing nodig:
- De ingebouwde viewer in Bestanden, Google Drive of de standaard kantoorsuite is vaak voldoende.
- Wil je iets krachtigers, blijf dan bij algemeen bekende opties zoals Adobe Acrobat Reader of de officiële reader van je fabrikant — direct geïnstalleerd vanuit de Play Store met de juiste ontwikkelaarsnaam. 1
Daarna:
- Stel die app in als je standaard PDF-lezer.
- Verwijder of schakel elke vooraf geïnstalleerde kantoorsuite uit die je niet van plan bent te gebruiken — vooral als deze je lastigvalt met advertenties.
3. Maak advertenties makkelijker herkenbaar
Een paar kleine gewoontes helpen enorm:
- Let op kleine labels zoals “Advertentie” of “Gesponsord” in Play Store-resultaten voordat je tikt.
- Wees op je hoede voor prompts die alleen verschijnen wanneer een splashscreen of banner laadt — echte systeemdialoogvensters verschijnen meestal in het midden van het scherm met consistente Android-opmaak.
- Als een prompt vreemde lettertypen gebruikt, niet-overeenkomende pictogrammen heeft, of is gekoppeld aan de branding van een specifieke app van derden, beschouw deze dan als onbetrouwbaar totdat het tegendeel is bewezen. 2
4. Gebruik de ingebouwde beveiligingen van Android (en overweeg een adblocker-laag)
Minimaal:
- Schakel Google Play Protect in de Play Store in → Play Protect → Instellingen.
- Installeer Android-systeemupdates en Google Play-systeemupdates altijd direct.
Voor extra veiligheid — vooral op apparaten van familieleden — overweeg:
- Gebruik Private DNS met een betrouwbare provider om veel advertentie- en trackingdomeinen op netwerkniveau te blokkeren.
- Een systeem-brede adblocker-app of DNS-gebaseerde blocker (bijvoorbeeld app-gebaseerde tools die een lokale VPN maken en bekende advertentiehosts blokkeren).
- Een betrouwbare mobiele beveiligingsapp van een bekende leverancier voor malware-scanning en URL-blokkering. 1
5. Controleer regelmatig apps en machtigingen
Eens per maand (zet desnoods een herinnering in je agenda):
- Open Instellingen → Apps en verwijder alles wat je niet herkent of niet meer gebruikt.
- Controleer App-machtigingen en trek de toegang tot camera, microfoon, sms, toegankelijkheid of gebruiksgegevens in voor apps die dit niet echt nodig hebben. 1
Dit verkleint niet alleen de kans op malware; het vermindert ook de “ruis” van overbodige apps die verwarrende prompts kunnen tonen.
Hoe stel je een veiligere Android-telefoon in voor je ouders
Als jij de “IT-ondersteuning van de familie” bent, kun je het risico in 15–20 minuten drastisch verminderen:
- Verwijder bloatware en apps met veel advertenties
- Verwijder of schakel vooraf geïnstalleerde office-suites, cleaners, “boosters”, willekeurige browsers en onbekende hulpmiddelen-apps uit. 1
- Installeer en pin een paar vertrouwde essentials
- Eén PDF-app (Drive/Bestanden/Adobe), één browser, één berichtenapp, één wachtwoordmanager en je gekozen beveiligingsapp.
- Stel veilige standaardinstellingen in
- Maak je vertrouwde PDF-app en browser de standaard, zodat andere apps geen bestanden of weblinks kapen.
- Schakel Play Protect en Private DNS in
- Zet Play Protect aan en configureer Private DNS naar een betrouwbare aanbieder die malware blokkeert. 3
- Leg uit hoe een scam-melding eruitziet
- Laat ze het verschil zien tussen:
- een echte systeemupdate (via Instellingen of Play), en
- een willekeurige “nu updaten” of “tik om te repareren” melding die verschijnt in een document of advertentie.
- Laat ze het verschil zien tussen:
In plaats van te proberen ze tot beveiligingsexperts te maken, ontwerp hun telefoon zo dat ze minder gevaarlijke keuzes hoeven te maken.
Als je denkt dat je al op een nep “update PDF-app” melding hebt getikt
Raak niet in paniek, maar handel doordacht:
- Verwijder verdachte apps
- Ga naar Instellingen → Apps en verwijder nieuw geïnstalleerde PDF- of “hulpprogramma”-apps die je niet volledig vertrouwt.
- Scan je telefoon
- Voer Google Play Protect uit.
- Gebruik een gerenommeerde mobiele beveiligingsapp om een volledige scan uit te voeren. 5
- Controleer bank- en betaalapps
- Controleer op onbekende logins, transacties of nieuwe apparaten.
- Als iets niet klopt, neem contact op met je bank via het nummer op de achterkant van je pas — nooit via links in sms’jes of e-mails. 7
- Meld de scam
- Markeer de app en advertentie in Google Play.
- In veel landen kun je pogingen tot fraude ook melden bij nationale cybercrime-hotlines of het FBI Internet Crime Complaint Center (IC3) als je in de VS bent. 3
Problemen vroegtijdig signaleren kan van een nachtmerrie een kleine schoonmaakbeurt maken.
Het grotere plaatje: platforms moeten stoppen met het laten lijken alsof de verkeerde tik “officieel” is
Het verhaal dat vandaag naar boven kwam — een vader die een PDF probeert te repareren en eindigt met een telefoon vol willekeurige apps — is een klein maar veelzeggend momentopname van Android eind 2025. 1
Beveiligingsonderzoekers, wetshandhavers en leveranciers van mobiele beveiliging zijn het over een paar thema’s eens:
- Oplichting is nu een dagelijkse achtergrondruis voor bijna de helft van de mobiele gebruikers. 3
- Aanvallers maken steeds vaker gebruik van interface-trucs — overlays, nep-updates, nagemaakte tap-to-pay-schermen — in plaats van alleen maar duidelijke malware-installers. 6
- Officiële app stores blijven een belangrijk strijdtoneel, geen gegarandeerd veilige zone. 4
Gebruikers kunnen (en zouden moeten) enkele basisverdedigingen leren. Maar uiteindelijk moeten platforms zoals Android en Google Play:
- Verbied advertentiecreaties die het systeem-UI imiteren, en handhaaf die regel daadwerkelijk.
- Maak advertentielabels groot en consistent over alle weergaveformaten.
- Straf shovelware en bijna-identieke hulpprogramma’s die risico toevoegen maar weinig waarde.
- Houd OEM’s verantwoordelijk voor vooraf geïnstalleerde apps die misbruik maken van advertenties of misleidende prompts. 2
Tot die tijd zullen verhalen zoals dat van deze vader blijven gebeuren — en soms zal de volgende willekeurige “PDF-update” niet alleen opslag verspillen. Het zal een salaris stelen.
