Eset entdeckt DDoS-App im Google Play Store

Eset musste kürzlich einen DDoS-Angriff abwehren. Die Attacke verfolgten die Sicherheitsforscher des Unternehmens zu einer schädlichen App namens Updates for Android zurück, die im Google Play Store gehostet wird. Sie verspricht, Nutzer mit einem täglichen News-Feed zu versorgen. Zusätzlich baut sie im Hintergrund jedoch ein Botnetz auf, dass für Distributed-Denial-of-Service-Angriffe (DDoS) benutzt wird.

Erstmals wurde die App am 9. September 2019 im Play Store eingereicht. Seitdem generierte sie mehr als 50.000 Downloads und eine durchschnittliche Bewertung von 4,3 von 5 möglichen Sternen. Anfänglich erfüllt die App den Forschern zufolge ausschließlich die vorgesehen Aufgaben. Die schädlichen Funktionen seien erst mit dem jüngsten Update hinzugefügt worden. „Wir wissen nicht, wie viele Instanzen der App nach dem Update installiert oder auf die schädliche Version aktualisiert wurden“ teilte Eset mit.

Neu ist demnach, dass die App in der Lage ist, JavaScript von einem entfernten Server herunterzuladen und auf dem Gerät des Nutzers auszuführen. Die Sicherheitskontrollen von Google konnte der schädliche Code offenbar umgehen, weil er erst rund zwei Wochen vor den Angriffen auf Eset hinzugefügt wurde.

Nach dem Update soll die App alle 150 Minuten Kontakt mit einem Befehlsserver im Internet aufgenommen haben, der unter Kontrolle der Hintermänner steht. Unter anderem wurde dabei eine eindeutige ID der App an den Server übertragen.

Darüber hinaus beschränkte sich die App nicht nur auf die neue DDoS-Funktion. Sie blendete nach dem Update auch unerwünschte Werbung im Standardbrowser eines Android-Smartphones ein. Die Eset-Forscher vermuten, dass die Hintermänner die App so monetisieren wollten. Um einer Erkennung durch den Nutzer zu entgehen beziehungsweise eine Installation zu erschweren, versteckte die App außerdem nach dem Update ihr Icon im App Drawer von Android.

Sicherheitsanbieter finden immer wieder unerwünschte bis gefährliche Apps im Play Store. Google ist das Problem bekannt. Im vergangenen Jahr gründete das Unternehmen deswegen die App Defense Alliance, zu der neben Google auch Eset, Lookout und Zimperium gehören. Ziel ist die Entwicklung einer gemeinsamen Engine zur Erkennung von Schadsoftware und anderen Bedrohungen.