Erneut 145 schädliche Android-Apps im Play Store entdeckt

Google hat erneut zahlreiche schädliche Android-Apps aus dem Play Store entfernt. Entdeckt wurden sie von Forschern von Palo Alto Networks. Ihnen zufolge wurde die Mehrzahl der Apps zwischen Oktober und November 2017 in Googles App-Marktplatz veröffentlicht – sie waren dort also über einen Zeitraum von mehr als sechs Monaten verfügbar.

Die Apps gaben sich unter anderem als Lern-, Zeichen- und Fitness-Apps aus. Viele Anwendungen zählten mehr als 1000 Downloads und waren sogar mit vier Sternen bewertet. Einige der für die schädlichen Apps verantwortlichen Entwickler hatten zudem auch ungefährliche Apps in ihrem Portfolio.

In einem Punkt unterschieden sich die Apps jedoch erheblich von üblicher Android-Malware: der integrierte Schadcode stellte zu keiner Zeit eine Gefahr für Android-Geräte darf. Stattdessen enthielten die Apps schädliche ausführbare Dateien für Microsofts Desktopbetriebssystem Windows.

Warum die Apps für Windows gedachten Schadcode enthielten, haben die Forscher bisher nicht herausgefunden. Sie schließen nicht aus, dass der verantwortliche Entwickler die APK-Installationsdateien auf einem Windows-Rechner erstellt hat, der durch eine Malware kompromittiert wurde.

„Diese Art der Infektion stellt eine Bedrohung für die Softwarelieferkette dar, da sich kompromittierte Softwareentwickler als effektive Taktik für weitreichende Angriffe erwiesen haben“, sagten die Forscher. „Interessanterweise sahen wir eine Mischung aus infizierten und nicht infizierten Anwendungen von denselben Entwicklern. Wir glauben, dass der Grund dafür sein könnte, dass die Entwickler unterschiedliche Entwicklungsumgebungen für verschiedene Anwendungen verwendet haben.“

Besonderes Interesse löste eine Schaddatei aus, die sich in 142 der 145 Android-Apps fand. Dabei handelte es sich um einen Keylogger für Windows-Systeme. Andere Malware war in der Lage, sich in Systemordnern zu verstecken, die Windows-Registry zu manipulieren oder Kontakt zu verdächtigen IP-Adressen aufzunehmen.

Da der in den APK-Dateien enthaltene Schadcode nicht unter Android lauffähig war, bestand für Nutzer eigentlich keine Gefahr. Zu einer Infektion könnte es den Forschern zufolge jedoch kommen, wenn man versucht, die APK-Dateien unter Windows zu entpacken.

„Die Entwicklungsumgebung ist ein wichtiger Teil der Softwareentwicklung“, ergänzten die Forscher. „Wir sollten immer zuerst versuchen, sie zu sichern. Sonst könnten andere Sicherheitsmaßnahmen nur vergebliche Versuche sein.“