Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Adware in Google Play aufgedeckt

Es wurden zwei Adware-Familien entdeckt, die zum einen ihre App-Symbole auf dem Smartphone nicht abbilden und zum anderen ihren Opfern aggressive Werbung anzeigen. So ist es schwierig herauszufinden, woher die Werbung kommt. Als Adware wird Schadsoftware bezeichnet, die ohne Zustimmung der Nutzer Geräteeinstellungen verändern und private Daten ausspionieren kann. Der Zulassungsprozess vieler namhafter App Stores weist noch immer Sicherheitsmängel auf. So wurden Apps im Google Play Store entdeckt, die Adware enthielten. Einige von ihnen gaben sich als eine Facebook-App aus und hatten Malware-ähnliche Merkmale, die das Entfernen der App vom Smartphone erschwerten. Nachdem Google auf die aufmerksam gemacht wurde hat das Unternehmen schnell reagiert und diese von ihrem App Store entfernt.

 

Im vergangenen Monat kamen einige Meldungen über Adware in Google Play an die Öffentlichkeit. Anfang Februar entdeckten Forscher drei Fälle von Adware, die ihr aggressives Werbeverhalten 30 Tage unterdrückten. Nach Ablauf dieser 30 Tage wurden den Opfern Werbeanzeigen eingeblendet und auf Webseiten mit riskanten Inhalten verwiesen. Ende Februar enthüllten Forscher zehn weitere Fälle von Adware, die ähnliche Verhaltensweisen aufzeigten. In den neu entdeckten Fällen verbergen sich die zwei Adware-Familien HideIcon und NotFunny. Die Download-Zahlen liegen nach Messungen von Google bei über einer halben Million Downloads. Weniger populäre Apps erreichten ca. 130.000 Downloads.

Die neuesten Bedrohungen unter die Lupe genommen:

HideIcon

HideIcon verfügt über einige Malware-Eigenschaften und verbirgt, wie der Name vermuten lässt, das App-Icon, sobald die Software auf dem Gerät installiert ist. Das scheint erst einmal nicht weiter tragisch zu sein. Jedoch ist eine App, von der man nicht weiß, dass sie existiert, viel schwerer von einem Smartphone zu entfernen als eine Anwendung, die man visuell wahrnimmt. Nachdem die App ihr Icon verborgen hat, lädt HideIcon aggressive Werbeanzeigen und stört so das Nutzererlebnis auf dem betroffenen Gerät. Es scheint keine Nutzungsbedingungen zu geben und die App bietet dem Nutzer keinerlei Mehrwert. Cheetah Mobile hat diese Adware im Januar erstmals entdeckt. Google entfernte daraufhin fünf bösartige Apps, die die Adware enthielten. Irgendwie hat es HideIcon jedoch zurück in Google Play geschafft.

Wie sind die Fälle einzuschätzen: Die App gibt sich als ein Kartenspiel aus, inkl. Beschreibung bei Google Play, wie das Spiel funktioniert. Zum Zeitpunkt der Löschung aus dem Google Play Katalog, war die App 1.000 bis 5.000 Mal heruntergeladen worden.

NotFunny

NotFunny besteht aus zwei Teilen: einem “Dropper” und dem “Payload” bzw. der Adware. Der Dropper verbirgt sich in Anwendungen wie einer “kostenlosen Weihnachtslieder-Klingelton-App”, Wallpaper-Apps, einer gefälschten Laserpointer-App und anderen Anwendungen. Wenn ein Opfer eine dieser Apps herunterlädt und startet, fordert der Dropper zum Download des Payloads auf. Diese Payload-App gibt sich als Facebook aus und legt ein Facebook-Icon im App-Launcher des Smartphones ab, bittet um mehrere Berechtigungen wie “persönliche Daten”, “kostenpflichtige Dienste“, “Nachrichten“ und “Standort“. Sobald die Installation abgeschlossen ist, verbirgt der Payload sein Icon.

Wie die meisten Adware-Arten pusht der Payload auf aggressive Weise Werbeanzeigen auf das Smartphone oder Tablet und beeinträchtigt dadurch die Nutzbarkeit des mobilen Gerätes. Der Code ist recht rudimentär und es gibt keine Hinweise darauf, dass sich professionelle Cyberkriminelle hinter dieser Bedrohung verbergen.

 

Lookout hat insgesamt 12 Fälle mit NotFunny im Google Play Store gefunden, die einer Reihe von Entwickler-Accounts zugeordnet waren. Ob diese Accounts von verschiedenen Personen geführt wurden, ist unbekannt. Die Apps hatten so unterschiedliche Themen wie “lustige Stimmveränderung” bis hin zu Tools, die angeblich das Akku-Icon in Dinge wie eine brennende Zigarette umwandeln. Man kann sich leicht vorstellen, wie jemand mit einem neuen Smartphone sich auf die Suche nach neuen, lustigen Apps macht und auf diese hier stößt.

Nachdem Google einige Anwendungen entfernt hatte, lud einer der Entwickler zwei der Apps erneut hoch. Dieses Mal war die Adware-Komponente nicht enthalten. Dies könnte darauf hinweisen, dass der Entwickler die Adware unabsichtlich in seine App eingebunden hat, ohne von den aggressiven Eigenschaften zu wissen. Oder er hatte Googles Richtlinien nicht verstanden. Natürlich könnte der Entwickler auch einfach festgestellt haben, dass er damit nicht mehr durchkommen würde.

Kann man Google Play eigentlich noch vertrauen? Die knappe Antwort der Experten lautet: Ja. Eine Zusammenarbeit innerhalb der Branche ist notwendig, um in der Lage zu sein, eine sichere App Store-Umgebung bereitzustellen. Google arbeitet bewusst mit Sicherheitsunternehmen zusammen, um die Qualität der Apps im Google Play Store sicherzustellen. Wenn eine bösartige App es dennoch in den Store schafft, entfernt Google sie so schnell wie möglich. Die Realität sieht jedoch so aus, dass zahlreiche Sicherheitsmechanismen benötigt werden, um dafür sorgen zu können, dass unsere mobilen Geräte geschützt sind.

Wie Sie sich schützen können:

  • Lesen Sie die App-Bewertungen. Wenn darin Punkte aufgeführt werden wie “Diese App blendet ständig Werbung ein!” oder andere negative Kommentare stehen, lassen Sie die Finger davon.
  • Laden Sie Apps von bekannten bzw. vertrauenswürdigen Entwicklern herunter. Recherchieren Sie kurz über den Entwickler, wenn Sie das Gefühl haben, eine App könnte potentiell schädlich sein sein.
  • Sorgen Sie dafür, dass auf Ihrem Gerät eine Sicherheits-App installiert ist, die Bedrohungen wie Adware erkennt, noch bevor Sie mit dieser in Kontakt kommen.
  • Lesen Sie, welche Berechtigungen eine App anfordert, bevor Sie sie installieren.

Zurück