7. Dezember 2018, 17:14 Uhr | Lesezeit: 5 Minuten
22 vermeintlich sichere Apps mit über 2 Millionen Downloads im Google Play Store beinhalten schädliche Malware. TECHBOOK erklärt von welchen Apps sich Android-Nutzer umgehend trennen sollten.
Nachdem Mitarbeiter des Antivirensoftware-Anbieters SophosLabs diese Sicherheitslücke entdeckt hatten, wurden die knapp zwei Dutzend Apps im Laufe der vergangenen Woche aus dem Sortiment des Google-Play-Marktes entfernt. Die Anwendungen enthielten Hintertüren, die es ihnen möglich machten, heimlich Dateien auf das Gerät herunterzuladen.
Zu den 22 gelöschten Titeln gehört „Sparkle Flashlight“, eine Taschenlampen-App, die seit ihrer Veröffentlichung im Google Play Store vor etwa zwei Jahren mehr als eine Million Mal heruntergeladen wurde. Im März dieses Jahres wurden „Sparkle Flashlight“ sowie zwei weitere Apps aktualisiert, wobei der versteckte „ClickFraud“-Code heimlich hinzugefügt wurde. Der Rest der schädlichen Apps war hingegen erst ab Juni verfügbar und enthielt den Downloader bereits von Beginn an.
Auch interessant: Darum verbrauchen Apps auf dem iPhone mehr Speicher als bei Android
Folgende Apps sind betroffen
- AK Blackjack
- Animal Match
- Box Stack
- Cliff Diver
- Color Tiles
- HexaBlocks
- HexaFall
- Jelly Slice
- Join Up
- Just Flashlight
- Magnifeye
- Math Solver
- Neon Pong
- Pairzap
- Roulette Mania
- ShapeSorter
- Snake Attack
- Space Rocket
- Sparkle FlashLight
- Table Soccer
- Tak A Trip
- Zombie Killer
Google hat nun inzwischen reagiert und die Apps aus dem Angebot des Play Stores gelöscht. Weitere Downloads aus dem offiziellen Store sind fortan nicht mehr möglich. Die Funktion der Schadsoftware, die bereits auf Geräten installiert wurde, ist jedoch weiterhin aktiv.
Hohes Schadenspotenzial
Diese Apps wurden genutzt, um vom Nutzer unbemerkt im Hintergrund endlos auf betrügerische Anzeigen zu klicken. SophosLabs taufte diese Kategorie Apps „Andr/Clickr-a“. Diese werden automatisch gestartet und ohne die Zustimmung des Nutzers ausgeführt, selbst wenn dieser das Programm eigenhändig geschlossen hat. Diese Funktionen führten sowohl zu erhöhtem Verbrauch des Datenvolumens als auch zur schnelleren Entladung des Akkus.
Chen Yu, Forscher des SophosLabs, veröffentlichte dazu folgende Einschätzung: „Andr/Clickr-ad ist eine gut organisierte, persistente Malware, die das Potenzial hat, Endbenutzern sowie dem gesamten Android-Ökosystem schweren Schaden zuzufügen. Diese Apps erzeugen betrügerische Anfragen, die durch die gefälschten Klicks erhebliche Einnahmen für Werbenetzwerke bedeuten.“
Funktionsweise der Malware
Aus Sicht des Benutzers entladen diese Apps den Akku des Telefons und können so mitunter zu Datenverlusten führen, da die Apps ständig laufen und mit Servern im Hintergrund kommunizieren. Darüber hinaus werden die Geräte vollständig vom C2-Server gesteuert und können auf Anweisung des Servers möglicherweise bösartige Module installieren.
Die Apps starten ihren Angriff auf das Gerät, indem sie sich an eine von Angreifern kontrollierte Domäne anmelden. Von dort laden infizierte Telefone Werbebetrugsmodule aus dem Netz und bekommen ab diesem Moment alle 80 Sekunden spezifische, externe Befehle. Die Module veranlassten die Telefone beispielsweise, auf eine große Anzahl von Links zu klicken, die betrügerische Apps enthielten. Um zu verhindern, dass Benutzer den Verdacht haben, ihr Handy sei unbemerkt infiziert worden, zeigen die Apps die Anzeigen in einem verborgenen Fenster, welches null Pixel hoch und null breit war.
Diese 13 beliebten Apps stecken voller Viren!
Die sogenannte „Andr/Clickr-ad“ manipulierte die Nutzer-Geräte, um eine Vielzahl von Apps zu simulieren, die den Schein geben sollen, auf mehreren Telefonen zu laufen. Damit soll den betrogenen Werbetreibenden der falsche Eindruck vermittelt werden, dass die Klicks von einem viel größeren Pool authentischer Benutzer kamen.
Um einen maximalen Gewinn zu erzielen, wurden Andr/Clickr-ad-Anwendungen so programmiert, dass sie bei jedem Neustart eines infizierten Telefons automatisch ausgeführt werden. Für den Fall, dass ein Benutzer das Beenden einer App erzwungen hat, haben die Entwickler einen sogenannten Synchronisationsadapter erstellt, der die App drei Minuten später wieder neu startet. Die Apps überprüften alle 80 Sekunden auf neue Werbebefehle und alle 10 Minuten auf neue Modul-Downloads.
Nutzer werden nicht von Google benachrichtigt
Der aktuelle Vorfall ist der neueste von vielen Beweisen dafür, dass Google nicht im Stande ist, seinen eigenen Markt für Apps ausreichend zu überwachen und vor ernsthaften Sicherheitsbedrohungen zu schützen. Immerhin entfernt das Unternehmen aus Titel ausgesprochen schnell aus dem Repertoire, sobald sie gemeldet werden.
Soweit wir bei TECHBOOK wissen, hat Google die bösartigen Anwendungen zwar am 25. November entfernt, doch wurden die Nutzer, welche die schadhaften Apps heruntergeladen haben, nicht darüber informiert.
Diese 14 iPhone-Apps sollten Sie sofort löschen
Gefahr im Play Store 13 Apps, die Sie sofort von Ihrem Smartphone löschen sollten
Vorsicht! Diese Fake-Apps schleusen Trojaner aufs Smartphone
Mehr als 300.000 Geräte betroffen Virenverseucht! Diese Apps sollten Sie sofort löschen
Das müssen Nutzer jetzt tun
Da Google selbst die Apps aus dem Play Store entfernt hat und der Link im Code der Apps, der die Installation der Malware im Hintergrund erlaubte, mittlerweile nicht mehr erreichbar ist, geht vermutlich keine Gefahr mehr von ihnen aus. Alle Nutzer, die noch eine der Apps auf ihrem Gerät installiert haben und auf Nummer sicher gehen wollen, können diese jetzt ohne weitere Auswirkungen löschen. Gehen Sie dazu in die Einstellungen Ihres Geräts und klicken Sie auf Apps&Benachrichtigungen und wählen Sie Alle Apps anzeigen aus. Aus der Liste sollten Sie nun die App, die aus dem Play Store geladen wurde, löschen.