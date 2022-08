Die IT-Sicherheitsforscher von Malwarebytes haben eine aggressive Adware im Google Play-Store entdeckt, die als PDF-Reader daherkommt. Sie blendet jedoch auch dann Vollbild-Werbung ein, wenn Anwenderinnen und Anwender sie gar nicht einsetzen.

Die App scheint eine reine Spam-Schleuder zu sein. Der Forscher von Malwarebytes berichtet, dass nach der Installation aus dem App-Store einige Stunden vergehen, bis sie die erste Werbung einblendet. Damit wollen die Adware-Programmierer das Aufspüren der verursachenden App erschweren. Nach einigen Stunden aber meldet sich das Smartphone sogar akustisch und spielt einen Benachrichtigungston ab. Nach dem Entsperren des Displays überdeckte eine Vollbild-Werbung den Bildschirm; teils sogar Werbevideos.

Gute Ad-SDKs, schlechte Ad-SDKs

Die Protokolle zeigten, dass ein eigenes Ad-SDK der Adware-Entwickler diese Werbung geladen und angezeigt hat. Ad-SDKs sind vorgefertigte Werbebibliotheken, die App-Entwickler einbinden können. Sie zeigen für gewöhnlich innerhalb akzeptabler Grenzen ausschließlich innerhalb der genutzten App Werbung an und bringen den App-Entwicklern Einnahmen – das ermöglicht oftmals die kostenlosen App-Versionen.

Durch das eigene Ad-SDK sind die PDF-Viewer-Programmierer jedoch nicht an die üblichen Einschränkungen gebunden und können so aggressiv Werbung ausspielen. Es handelt sich damit dann jedoch um eine Adware. Das meint die bekannte Schadsoftware-Kategorie.

Warnzeichen in den App-Eigenschaften

Bereits im App-Store fallen jedoch einige Eigenschaften der App negativ auf. Die Malwarebytes-Forscher finden etwa den Entwicklernamen Fairy games verdächtig – warum sollte solch eine Unternehmung etwas anderes als Spiele entwickeln? Zudem war die App mit der Altersstufe "Mature 17+" gekennzeichnet. Ein PDF-Reader sollte eigentlich keine Altersgrenze haben. Inzwischen haben die Werbe-App-Entwickler das auch angepasst.

Was weiterhin auffällt, dass bei mehr als einer Million Downloads zwar rund 1500 Rezensionen abgegeben wurden – wovon jedoch lediglich fünf auch einen Text enthalten. Denen zufolge zeigt die App nicht einmal PDF-Dateien an, sondern bietet an, diese zu speichern. Andere Nutzer bemängeln den Spam-Charakter der App.

Derzeit ist die App immer noch im Google Play-Store zu finden und lässt sich weiterhin installieren. Android-Nutzer sollten jedoch Ausschau halten, ob sie "PDF-Reader: Dokumente anzeigen" von Fairy games auf ihrem Handy haben. Der Paketname lautet com.document.pdf.viewer. Über die App-Infos oder der App-Liste in den Smartphone-Einstellungen lässt sich die bösartige App zügig deinstallieren. In der Meldung von Malwarebytes finden sich noch ein paar weitere Details.

Im App-Store tauchen immer wieder mal Apps auf, die bösartige Absichten verfolgen. So hat Google etwa vor einem Monat acht Apps mit mehr als drei Millionen Downloads aus dem Store geworfen, die Anwender durch das Abonnieren von Premium-Diensten abzockten. Vor einer Woche hatte Bitdefender 35 Malware-Apps mit mehr als zwei Millionen Installationen aufgespürt, die Google daraufhin aus dem Play-Store geworfen hat.

(dmk)