Trend Micro entdeckt 340 Adware-Apps im Google Play Store

Trend Micro hat eine Adware für Android entdeckt, die automatisch Klicks auf Anzeigen erzeugt. Sie wird derzeit über den offiziellen Google Play Store verteilt. Insgesamt 340 Apps aus den Bereichen Spiele, Tools, Dateimanager, QR- und Barcodescanner, Multimedia und Navigation waren zuletzt mit dem Schadcode infiziert.

Einige dieser Apps wie das Spiel Alladdin’s Adventure’s World wurden mehrere Millionen Mal heruntergeladen. Zudem waren mit Stand 7. August noch 101 Adware verseuchte Apps im Play Store erhältlich. Betroffen sind laut Trend Micro vor allem Nutzer in Südostasien, Brasilien, Japan, Taiwan, Russland, Italien und den USA.

Trend Micro nennt die Adware GhostClicker, da sie automatisch Klicks auf unerwünscht eingeblendete Werbung erzeugt und sich in den Google Mobile Services versteckt, Googles Bezeichnung für seine mobilen Apps und APIs. GhostClicker fand sich außerdem in einer Komponente des Facebook Ad Software Development Kit.

Die Adware bleibt auf Geräten, deren HTTP.Agent das Wort „Nexus“ enthält, inaktiv. „Wir gehen davon aus, dass diese Routine Sandboxes wie die Android Application Sandbox vermeiden soll, da Android-Sandboxing-Umgebungen normalerweise ‚Nexus XXX‘ genannt werden“, heißt es im Blog von Trend Micro.

Einige der Apps sollen beim ersten Start Administratorrechte einfordern, ohne auf die Folgen hinzuweisen. Dazu gehört, dass die App anschließend Daten löschen oder das Passwort zurücksetzen kann. Damit soll den Forschern zufolge die Deinstallation der Adware-Apps erschwert werden. Nutzer müssen zuerst den Geräte-Administrator deaktivieren, bevor sie die fragliche App wie gewohnt löschen können.

GhostClicker schleust Code in Googles Werbeplattform Admob ein

Die automatischen Klicks generiert GhostClicker, indem es seinen Code in Googles Werbeplattform Admob einschleust, um die Position der Werbung zu erfahren. Da die Adware auch die Bildschirmauflösung des Geräts auslesen kann, ist sie anschließend in der Lage, die Koordinaten einer Anzeige zu bestimmen und über das TouchEvent-API einen Klick simulieren. Auf Geräten mit aktiviertem Gerätadministrator werden die automatischen Klicks im Minutentakt generiert.

Trend Micro geht zudem davon aus, dass die ersten GhostClicker-Apps bereits im August 2016 in den Play Store eingestellt wurden. Seitdem seien verschiedene Varianten der Adware veröffentlicht worden, die zwischenzeitlich auf die automatischen Klicks verzichten.

Einen Ratschlag des Sicherheitsanbieters, um sich vor schädlichen Apps zu schützen, können viele Nutzer von Android-Geräten wohl nicht befolgen: stets ein aktuelles Betriebssystem zu nutzen. Es haben sich neben Google nämlich nur Blackberry, LG und Samsung zur Veröffentlichung monatlicher Sicherheitsupdates verpflichtet. Aber auch sie beschränken die Patches auf wenige hochpreisige Modelle und liefern die Updates zum Teil erst mit mehrwöchiger Verspätung oder gar nur alle zwei oder drei Monate aus. Hinzu kommt nun Nokia, das den Käufern seiner Smartphones ein „aktuelles und sicheres“ Android verspricht.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

9 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

9 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

16 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago