Der Sicherheitsanbieter Bitdefender hat nach eigenen Angaben zehn schädliche Apps in Googles Play Store ausfindig gemacht, die Nutzer unter anderem mit unerwünschter Werbung belästigen. Offenbar konnten sie Googles Prüfverfahren umgehen, weil über die URL, die den Nutzer auf Werbeseiten umleitet, selbst keine schädliche .apk-Dateien verbreitet werden. Stattdessen dient sie lediglich der Umleitung des Browsers auf eine eigens angelegte URL, von der aus der Nutzer von einer Werbe-Website zur nächsten geschickt wird, wie Sicherheitsforscher Alin Barbatei erklärt.
Der Anwender wird bei jeder Suchanfrage, jeder angeklickten URL und jedem in Facebook geöffneten Link auf die Website www.mobilsitelerim.com/anasayfa weitergeleitet, auf der ihm standortbezogene Werbeanzeigen präsentiert werden. Dabei geht es zum einen darum, Besucher so weit zu verunsichern, dass sie ein Premium-Abonnement für vermeintliche aber tatsächlich uneffektive Sicherheitsdienste abschließen. Zum anderen wollen die Betrüger ihre Opfer dazu bringen, vermeintliche System- oder Performance-Updates zu installieren, die letztendlich jedoch nur weitere Adware sind.
Die Kernkomponente der aggressiven Adware-Apps bezeichnet Bitdfender als „Android.Trojan.HiddenApp.E“. Die Sicherheitslösungen des Unternehmens blockieren sie. Einige der damit ausgerüsteten Apps sind immer noch auf Google Play verfügbar. Eine davon heißt „What is my ip?“. Deren Vorgehen beschreibt Bitdefender-Experte Barbatei stellvertretend für die anderen von ihm entdeckten etwas ausführlicher.
Die App „What is my ip?“ legt nach der Installation unter dem Namen „System Manager“ eine Verknüpfung auf dem Homescreen an. Führt ein Nutzer die ständigen Browser-Weiterleitungen und Scareware-Benachrichtigungen auf eine dieser Apps zurück, habe er dennoch Probleme, sie zu finden und zu deinstallieren, denn im Anwendungsmanager verstecke sie sich unter einem anderen Namen. „Technisch weniger versierte Nutzer werden so auf die falsche Fährte gelockt und die App bleibt auf unbestimmte Zeit aktiv“, so Barbatei.
Die fraglichen Apps benötigen für ihr unerwünschtes Treiben nur zwei Zugriffsberechtigungen: die für die Netzwerkkommunikation und für die Systemprogramme. „Sie können damit aber große Probleme verursachen und den Nutzer möglicherweise dazu bewegen, weitere Apps und Adware herunterzuladen, die sein Gerät lahmlegen“, warnt Bitdefender. „Auch wenn diese Apps an sich nicht schädlich sind, unterscheiden sie sich durch den Versand sensibler Nutzerdaten an Dritte kaum von der aggressiven Adware, die man bereits vom Desktop-PC her kennt. Die daraus resultierende Flut aus Pop-ups, Umleitungen und Werbeanzeigen ist für den Nutzer äußerst lästig und schränkt die Benutzererfahrung und die Leistung des Android-Geräts erheblich ein.“
Die Masche erinnert an die Anfang Februar von Google aus seinem Play Store entfernten Adware-Apps mit Zeitzünder. Da diese erst mit Verzögerung ihr schädliches Verhalten zeigten, konnten sie sich millionenfach verbreiten. Über Systembenachrichtigungen informierten sie Nutzer über angebliche Probleme und leiteten ihn dann zu anderen Programmen im App Store weiter.
In den letzten Jahren hat Google seine Entwickler-Richtlinien mehrfach verschärft, um Betrugsversuchen Einhalt zu gebieten. Beispielsweise untersagt es neben der Verbreitung von Viren, Würmern und Trojanern auch Werbung in Systembenachrichtigungen. Wörtlich heißt es: „Apps sowie die darin enthaltenen Anzeigen dürfen in Systembenachrichtigungen auf dem Gerät des Nutzers keine Werbung schalten, es sei denn, bei den Benachrichtigungen handelt es sich um einen integralen Bestandteil der installierten App.“ Aber dennoch tauchen immer wieder Adware-Anwendungen wie diese im Play Store auf.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.