Direkt zum Inhalt wechseln
logo Das Magazin für digitalen Lifestyle und Entertainment
Play Store schließt Sicherheitslücke

Diese 22 Apps schmeißt Google raus

Bild konnte nicht geladen werden
Jules Finn Birner

7. Dezember 2018, 17:14 Uhr | Lesezeit: 5 Minuten

22 vermeintlich sichere Apps mit über 2 Millionen Downloads im Google Play Store beinhalten schädliche Malware. TECHBOOK erklärt von welchen Apps sich Android-Nutzer umgehend trennen sollten.

Artikel teilen

Nachdem Mitarbeiter des Antivirensoftware-Anbieters SophosLabs diese Sicherheitslücke entdeckt hatten, wurden die knapp zwei Dutzend Apps im Laufe der vergangenen Woche aus dem Sortiment des Google-Play-Marktes entfernt. Die Anwendungen enthielten Hintertüren, die es ihnen möglich machten, heimlich Dateien auf das Gerät herunterzuladen.

Sparkle Flashlight Malware App
Schadhafte App für das Smartphone

Zu den 22 gelöschten Titeln gehört „Sparkle Flashlight“, eine Taschenlampen-App, die seit ihrer Veröffentlichung im Google Play Store vor etwa zwei Jahren mehr als eine Million Mal heruntergeladen wurde. Im März dieses Jahres wurden „Sparkle Flashlight“ sowie zwei weitere Apps aktualisiert, wobei der versteckte „ClickFraud“-Code heimlich hinzugefügt wurde. Der Rest der schädlichen Apps war hingegen erst ab Juni verfügbar und enthielt den Downloader bereits von Beginn an.

Auch interessant: Darum verbrauchen Apps auf dem iPhone mehr Speicher als bei Android

Folgende Apps sind betroffen

  • AK Blackjack
  • Animal Match
  • Box Stack
  • Cliff Diver
  • Color Tiles
  • HexaBlocks
  • HexaFall
  • Jelly Slice
  • Join Up
  • Just Flashlight
  • Magnifeye
  • Math Solver
  • Neon Pong
  • Pairzap
  • Roulette Mania
  • ShapeSorter
  • Snake Attack
  • Space Rocket
  • Sparkle FlashLight
  • Table Soccer
  • Tak A Trip
  • Zombie Killer
Schadhafte Apps für das SmartphoneFoto: TECHBOOK

Google hat nun inzwischen reagiert und die Apps aus dem Angebot des Play Stores gelöscht. Weitere Downloads aus dem offiziellen Store sind fortan nicht mehr möglich. Die Funktion der Schadsoftware, die bereits auf Geräten installiert wurde, ist jedoch weiterhin aktiv.

Hohes Schadenspotenzial

Diese Apps wurden genutzt, um vom Nutzer unbemerkt im Hintergrund endlos auf betrügerische Anzeigen zu klicken. SophosLabs taufte diese Kategorie Apps „Andr/Clickr-a“. Diese werden automatisch gestartet und ohne die Zustimmung des Nutzers ausgeführt, selbst wenn dieser das Programm eigenhändig geschlossen hat. Diese Funktionen führten sowohl zu erhöhtem Verbrauch des Datenvolumens als auch zur schnelleren Entladung des Akkus.

Chen Yu, Forscher des SophosLabs, veröffentlichte dazu folgende Einschätzung: „Andr/Clickr-ad ist eine gut organisierte, persistente Malware, die das Potenzial hat, Endbenutzern sowie dem gesamten Android-Ökosystem schweren Schaden zuzufügen. Diese Apps erzeugen betrügerische Anfragen, die durch die gefälschten Klicks erhebliche Einnahmen für Werbenetzwerke bedeuten.“

Funktionsweise der Malware

Aus Sicht des Benutzers entladen diese Apps den Akku des Telefons und können so mitunter zu Datenverlusten führen, da die Apps ständig laufen und mit Servern im Hintergrund kommunizieren. Darüber hinaus werden die Geräte vollständig vom C2-Server gesteuert und können auf Anweisung des Servers möglicherweise bösartige Module installieren.

Die Apps starten ihren Angriff auf das Gerät, indem sie sich an eine von Angreifern kontrollierte Domäne anmelden. Von dort laden infizierte Telefone Werbebetrugsmodule aus dem Netz und bekommen ab diesem Moment alle 80 Sekunden spezifische, externe Befehle. Die Module veranlassten die Telefone beispielsweise, auf eine große Anzahl von Links zu klicken, die betrügerische Apps enthielten. Um zu verhindern, dass Benutzer den Verdacht haben, ihr Handy sei unbemerkt infiziert worden, zeigen die Apps die Anzeigen in einem verborgenen Fenster, welches null Pixel hoch und null breit war.

Diese 13 beliebten Apps stecken voller Viren!

Die sogenannte „Andr/Clickr-ad“ manipulierte die Nutzer-Geräte, um eine Vielzahl von Apps zu simulieren, die den Schein geben sollen, auf mehreren Telefonen zu laufen. Damit soll den betrogenen Werbetreibenden der falsche Eindruck vermittelt werden, dass die Klicks von einem viel größeren Pool authentischer Benutzer kamen.

Um einen maximalen Gewinn zu erzielen, wurden Andr/Clickr-ad-Anwendungen so programmiert, dass sie bei jedem Neustart eines infizierten Telefons automatisch ausgeführt werden. Für den Fall, dass ein Benutzer das Beenden einer App erzwungen hat, haben die Entwickler einen sogenannten Synchronisationsadapter erstellt, der die App drei Minuten später wieder neu startet. Die Apps überprüften alle 80 Sekunden auf neue Werbebefehle und alle 10 Minuten auf neue Modul-Downloads.

Nutzer werden nicht von Google benachrichtigt

Der aktuelle Vorfall ist der neueste von vielen Beweisen dafür, dass Google nicht im Stande ist, seinen eigenen Markt für Apps ausreichend zu überwachen und vor ernsthaften Sicherheitsbedrohungen zu schützen. Immerhin entfernt das Unternehmen aus Titel ausgesprochen schnell aus dem Repertoire, sobald sie gemeldet werden.

Soweit wir bei TECHBOOK wissen, hat Google die bösartigen Anwendungen zwar am 25. November entfernt, doch wurden die Nutzer, welche die schadhaften Apps heruntergeladen haben, nicht darüber informiert.

Diese 14 iPhone-Apps sollten Sie sofort löschen
Mehr zum Thema

Das müssen Nutzer jetzt tun

Da Google selbst die Apps aus dem Play Store entfernt hat und der Link im Code der Apps, der die Installation der Malware im Hintergrund erlaubte, mittlerweile nicht mehr erreichbar ist, geht vermutlich keine Gefahr mehr von ihnen aus. Alle Nutzer, die noch eine der Apps auf ihrem Gerät installiert haben und auf Nummer sicher gehen wollen, können diese jetzt ohne weitere Auswirkungen löschen. Gehen Sie dazu in die Einstellungen Ihres Geräts und klicken Sie auf Apps&Benachrichtigungen und wählen Sie Alle Apps anzeigen aus. Aus der Liste sollten Sie nun die App, die aus dem Play Store geladen wurde, löschen.

Themen Android
Technik-Angebote entdecken bei kaufDA
Logo KaufDA
Anzeige
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale- Netzwerke zu teilen, brauchen wir deine Zustimmung für diesen .
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.