Die IT-Sicherheitsforscher von Bitdefender haben eine Schutzkomponente bei Apps, deren Installer auf dubiosen Webseiten herumliegen, getestet. Dabei sind sie auf eine Masche gestoßen, mit der sich die Malware vor der Entdeckung und dem Entfernen auf dem Gerät versteckt.

Seit API 30, also Android 11, unterbindet Google die Möglichkeit, ein App-Icon zu verstecken, sofern ein Launcher registriert ist, führen Bitdefenders Virenanalysten in der Beschreibung aus. Die jetzt gefundenen Malware-Apps aus zweifelhaften Quellen umgehen diesen Schutz, indem sie einfach keinen Launcher registrieren. Sie verlassen sich vielmehr darauf, dass Nutzer die App nach der Installation mit dem angezeigten "Öffnen" direkt starten. Das dürfte ein von vielen Android-Nutzern geübtes und praktiziertes Verhalten sein.

Android-Malware: Falsche Fehlermeldungen

Die App zeige nach dem Starten die Fehlermeldung: "Application is unavailable in your region. Tap OK to uninstall", um Nutzer glauben zu lassen, sie sei nicht installiert worden. Tatsächlich hat sie sich jedoch bereits eingerichtet.

Ein weiterer perfider Trick ist die Nutzung von UTF-8-kodierten Zeichen im App-Namen. Sie taucht dadurch am Ende der regulären App-Liste auf. Ein Dateiname ist gegebenenfalls gar nicht ersichtlich. Android-Nutzer können die App dadurch kaum zuordnen und ignorieren das eher.

Durch die UTF-8-Kodierung im App-Namen landet die App am Ende der Liste, zudem ist ein Dateiname nicht ersichtlich. Nutzer dürften die App daher ratlos ignorieren. (Bild: Bitdefender)

Durch das fehlende Icon im Launcher und das Verstecken des App-Namens erschwert die App das Auffinden und die Deinstallation.

Auch reguläre Apps ohne Icon

Es gibt auch reguläre Apps, die nicht im Android-Launcher auftauchen. Gratis-Apps wie "Sleep as Android" etwa ermöglichen durch den Kauf einer separaten Lizenz-App, erweiterte Funktionen freizuschalten. Diese Lizenz-Apps tauchen dann lediglich in der App-Liste von Android auf. Allerdings verschleiern die Entwickler deren Namen dort nicht.

Es scheint eine gute Idee zu sein, Apps, die nicht im Launcher auftauchen und die ihren Namen in der App-Liste verschleiern, zu deinstallieren. Da diese Apps möglicherweise noch weitere Modifikationen vorgenommen haben, empfiehlt sich ein Rücksetzen auf Werkseinstellungen und die Neueinrichtung des Handys. Dieses Mal jedoch, ohne die auslösende App – im Regelfall nicht aus dem App-Store, sondern aus dubioser Quelle im Internet – erneut zu installieren.

(dmk)