Trend Micro findet 49 Adware-Apps in Google Play

Trend Micro warnt erneut vor Adware-Apps im Google Play Store. Getarnt als Spiele und Kamera-Apps blenden die Android-Anwendungen unerwünschte Werbung ein. Zudem verfügen sie über Techniken, die eine Erkennung sowie Löschung erschweren. Bevor Google die Apps aus seinem offiziellen Marktplatz entfernen konnte, erreichten sie zusammen mehr als 3 Millionen Downloads.

Wie die meisten Adware-Apps verstecken auch die jetzt entdeckten Schädlinge ihre Symbole – sie sind also weder im App Drawer noch auf einem Home-Bildschirm zu finden. Stattdessen werden Nutzer mit bildschirmfüllender Werbung geärgert, die sich nur über eine Home-Taste oder den Zurück-Button ausblenden lässt.

Die Adware übrflutet den Home-Bildschirm mit Browser-Icons (links), blendet unerwünschte Werbung ein und versteckt sich in der Liste der zuletzt genutzten Apps (Bild: Trend Micro).Um einer Erkennung zu entgehen, tarnen die Entwickler den schädlichen Code und verschlüsseln ihn teilweise mit speziellen Algorithmen. In einigen Fällen legten die Apps statt eines eigenen Icons das Symbol eines beliebten Mobilbrowsers auf dem Gerät ab. Ein Klick auf das Symbol öffnet zwar den Browser, der zeigt aber nur Werbung an und überflutet den Home-Bildschirm zudem mit Verknüpfungen – allerdings nur unter Android 7.x und früher.

Auf Geräten mit Android 8.0 und höher richten sich die Adware-Apps indes als Foreground Service ein. Das erlaubt es ihnen, selbst dann aktiv zu sein, wenn der Nutzer nicht mit ihnen interagiert. Ein Nebeneffekt: auf Geräten mit wenig Arbeitsspeicher werden solche Apps möglichst lange im Speicher gehalten.

Darüber hinaus setzten die Hintermänner eine beliebte Technik ein, um einer lokalen Erkennung durch Google Play Protect zu entgehen. Da der Sicherheitsdienst immer nach einem Neustart eines Geräts aktiv wird, startet die Adware ihre Aktivitäten erst mit einer zeitlichen Verzögerung.

Trend Micro weist auch darauf hin, dass die Adware-Apps spezielle Funktionen für neuere Android-Versionen besitzen. So wird die Methode „setTaskDescription“ beispielsweise missbraucht, um den Namen der App in der Liste der zuletzt genutzten Anwendungen zu verbergen. Sie würde ansonsten Auskunft über die Herkunft der unerwünschten Werbung geben und es zumindest versierten Nutzern erlauben, die Adware über das Apps-Menü in der Einstellungen-App zu entfernen.

Für Google ist es nicht der erste Vorfall dieser Art in diesem Jahr. Allein Trend Micro meldete mehrere Adware-Wellen im Play Store. Im August musste Google auf Betreiben des Sicherheitsanbieters 85 falsche Foto-Apps und Spiele aus seinem Angebot löschen. Im Juli waren es mehr als 100 Apps. Im Januar fand die erste Welle des Jahres mehr als 9 Millionen Opfern.

Inzwischen räumte Google ein Sicherheitsproblem des Play Store ein. Abhilfe soll nun die zusammen mit Eset, Lookout und Zimperium gegründete App Defense Alliance schaffen. Ziel ist die Entwicklung einer gemeinsamen Engine zur Erkennung von Schadsoftware und anderen Bedrohungen.