Google Play Store verteilt mit Adware verseuchte Apps an 1,5 Millionen Nutzer

Mindestens 1,5 Millionen Nutzer haben über den Google Play Store zuletzt mit Adware verseuchte Apps heruntergeladen. Die Schadsoftware, die unerwünschte Werbung einblendet, versteckte sich in Taschenlampen-Apps und anderen angeblich nützlichen Werkzeugen, wie Forscher von Check Point herausgefunden haben. Die insgesamt 22 schädlichen Anwendungen wurden bis zu 7,5 Millionen Mal heruntergeladen – die Zahl der Betroffenen könnte die Marke von 1,5 Millionen also deutlich übertreffen.

Die LightsOut genannte Adware soll durch wiederholte Einblendungen von Pop-up-Anzeigen Werbeeinnahmen generieren. Die Anzeigen wurden so eingeblendet, dass Nutzer mit ihnen interagieren mussten. Beispielsweise erschienen Anzeigen während eines Telefonats – der Anruf konnte dann nur durch einen Klick auf die Anzeige beendet werden.

Um sich einer Entdeckung und Löschung zu entziehen wurde bei der Installation der Taschenlampen-Apps lediglich der Schadcode von LightsOut extrahiert und eingerichtet. Der Schadcode in Form eines Skripts verfügte über zwei Funktionen, die beim ersten Start der App über einen Befehlsserver im Internet ausgelöst wurden: Zuerst löschte das Skript das Symbol der App aus dem App Drawer. Danach bot er an, keine Werbung anzuzeigen.

Aber auch Nutzer, die sich gegen Werbeeinblendungen entschieden, wurden mit unerwünschten Anzeigen belästigt, beispielsweise beim Telefonieren, beim Laden des Geräts oder beim Sperren des Bildschirms. Check Point geht davon aus, dass die Hintermänner der Adware das Einblenden der Werbung mit diesen Aktionen verbunden haben, um von den zuvor installierten Taschenlampen-Apps als Auslöser abzulenken.

Check Point zufolge nutzen schädliche Apps verschiedene Techniken, um die Schutzfunktionen des Play Store auszutricksen. „Eine ist der Upload einer harmlosen ‚Brückenkopf-App‘ ohne schädliche Funktionen. Erst nachdem die App auf einem echten Gerät installiert wurde, bezieht sie die gefährlichen Komponenten von einem Befehlsserver“, erklärte ein Check-Point-Sprecher.

Darüber hinaus nutzten gefährliche Apps vorsätzlich Techniken, um die Ausführung der schädlichen Aktivitäten zu verzögern und so den virtuellen Kontrollen von Google zu entgehen. „Google prüft Apps nur über einen kurzen Zeitraum, was bedeutet, dass ihnen einige schädliche Aktionen der Malware entgehen können.“

LightsOut steckte unter anderem in den Apps Smart Flashlight, Cool Flashlight, Flashlight Pro, Network Guard, Realtime Cleaner und Call Recorder Pro. Die 22 von Check Point gemeldeten Apps wurden inzwischen aus dem Play Store entfernt. „Wir nehmen die Sicherheit unserer Nutzer sehr ernst“ betonte ein Google-Sprecher.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de