Trend Micro entdeckt 340 Adware-Apps im Google Play Store

Trend Micro hat eine Adware für Android entdeckt, die automatisch Klicks auf Anzeigen erzeugt. Sie wird derzeit über den offiziellen Google Play Store verteilt. Insgesamt 340 Apps aus den Bereichen Spiele, Tools, Dateimanager, QR- und Barcodescanner, Multimedia und Navigation waren zuletzt mit dem Schadcode infiziert.

Einige dieser Apps wie das Spiel Alladdin’s Adventure’s World wurden mehrere Millionen Mal heruntergeladen. Zudem waren mit Stand 7. August noch 101 Adware verseuchte Apps im Play Store erhältlich. Betroffen sind laut Trend Micro vor allem Nutzer in Südostasien, Brasilien, Japan, Taiwan, Russland, Italien und den USA.

Trend Micro nennt die Adware GhostClicker, da sie automatisch Klicks auf unerwünscht eingeblendete Werbung erzeugt und sich in den Google Mobile Services versteckt, Googles Bezeichnung für seine mobilen Apps und APIs. GhostClicker fand sich außerdem in einer Komponente des Facebook Ad Software Development Kit.

Die Adware bleibt auf Geräten, deren HTTP.Agent das Wort „Nexus“ enthält, inaktiv. „Wir gehen davon aus, dass diese Routine Sandboxes wie die Android Application Sandbox vermeiden soll, da Android-Sandboxing-Umgebungen normalerweise ‚Nexus XXX‘ genannt werden“, heißt es im Blog von Trend Micro.

Einige der Apps sollen beim ersten Start Administratorrechte einfordern, ohne auf die Folgen hinzuweisen. Dazu gehört, dass die App anschließend Daten löschen oder das Passwort zurücksetzen kann. Damit soll den Forschern zufolge die Deinstallation der Adware-Apps erschwert werden. Nutzer müssen zuerst den Geräte-Administrator deaktivieren, bevor sie die fragliche App wie gewohnt löschen können.

GhostClicker schleust Code in Googles Werbeplattform Admob ein

Die automatischen Klicks generiert GhostClicker, indem es seinen Code in Googles Werbeplattform Admob einschleust, um die Position der Werbung zu erfahren. Da die Adware auch die Bildschirmauflösung des Geräts auslesen kann, ist sie anschließend in der Lage, die Koordinaten einer Anzeige zu bestimmen und über das TouchEvent-API einen Klick simulieren. Auf Geräten mit aktiviertem Gerätadministrator werden die automatischen Klicks im Minutentakt generiert.

Trend Micro geht zudem davon aus, dass die ersten GhostClicker-Apps bereits im August 2016 in den Play Store eingestellt wurden. Seitdem seien verschiedene Varianten der Adware veröffentlicht worden, die zwischenzeitlich auf die automatischen Klicks verzichten.

Einen Ratschlag des Sicherheitsanbieters, um sich vor schädlichen Apps zu schützen, können viele Nutzer von Android-Geräten wohl nicht befolgen: stets ein aktuelles Betriebssystem zu nutzen. Es haben sich neben Google nämlich nur Blackberry, LG und Samsung zur Veröffentlichung monatlicher Sicherheitsupdates verpflichtet. Aber auch sie beschränken die Patches auf wenige hochpreisige Modelle und liefern die Updates zum Teil erst mit mehrwöchiger Verspätung oder gar nur alle zwei oder drei Monate aus. Hinzu kommt nun Nokia, das den Käufern seiner Smartphones ein „aktuelles und sicheres“ Android verspricht.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.