Adware im Google Play Store infiziert 9 Millionen Nutzer

Trend Micro hat eine neue Adware-Kampagne im Google Play Store aufgedeckt. Die unerwünschten Apps, die vorübergehend im Play Store verfügbar waren und insgesamt von 9 Millionen Nutzern weltweit installiert wurden, blenden unerwünschte Vollbild-Anzeigen ein. Die Hintermänner tarnten die Adware in insgesamt 85 gefälschten Apps, die sich als legitime Anwendungen wie Spiele und Fernbedienungen für TV-Geräte ausgaben.

Die meisten Downloads erbrachte die App „Easy Universal TV Remote“. Sie versprach Nutzern, mit ihrem Smartphone ihren Fernseher zu steuern. Die App brachte es auf mehr als 5 Millionen Installationen und immerhin „vier Sterne“ aus mehr als 130.000 Bewertungen. Die jüngsten Kommentare aus November und Dezember 2018 offenbarten jedoch, dass die App nicht die gewünschten Funktionen erbrachte. „Ich habe die App heruntergeladen, geöffnet und versucht einzurichten und sie löste sich in nichts auf. Nicht einmal eine Warnmeldung erschien“, kommentierte ein Nutzer laut einem von Trend Micro veröffentlichten Screenshot.

Die Analyse der Sicherheitsforscher ergab, dass die 85 Apps, obwohl sie von unterschiedlichen Entwicklern stammten, denselben Code nutzten und dasselbe Verhalten zeigten. Bereits beim ersten Start einer der Adware-Apps wurde dem Nutzer eine bildschirmfüllende Anzeige präsentiert. Wurde sie weggeklickt, erschienen die ersten Bedienelemente der eigentlichen App. Klicks darauf blendeten jedoch erneut Anzeigen ein, darunter Aufforderungen, die App im Play Store mit fünf Sternen zu bewerten. Klicks auf diese Meldung oder andere Schaltflächen, beispielsweise zur Konfiguration der App, förderten jeweils neue Anzeigen zu Tage.

Schließlich meldeten die Apps laut Trend Micro einen Lade- oder Puffervorgang, vor dessen Abschluss die Apps geschlossen wurden und auch aus dem App-Drawer verschwanden. Tatsächlich liefen die Apps jedoch im Hintergrund weiter und blendeten alle 15 bis 30 Minuten eine neue Vollbild-Anzeige ein. Alternativ waren die Apps aber auch in der Lage, die Aktivität des Sperrbildschirms zu überwachen und eine Anzeige einzublenden, sobald das Gerät entsperrt wurde.

Die Analyse ergab auch, dass sich die Fake-Apps über das App-Menü eines Smartphones problemlos deinstallieren lassen – allerdings nur dort, da sie im App Drawer nicht sichtbar sind. Unklar ist erneut, wie es die Entwickler geschafft haben, die Apps an Googles Kontrollen vorbei in den Play Store einzuschleusen – zumal Googles Sicherheitsfunktion Play Protect auch lokal auf einem Gerät installierte Apps in der Regel täglich einmal durchleuchtet.