Die Antivirenfirma Bitdefender hat im Google Play Store 35 Apps gefunden, die Bösartiges im Schilde führen. Den Angaben im Play Store zufolge kämen sie zusammen auf mehr als zwei Millionen Downloads. Es handelt sich um Werbe-Malware.

Versteckspiel der Malware

Im App-Store sollen die Funktionsbeschreibung der Apps potenzielle Opfer zur Installation verleiten. Ist die Software jedoch erst mal auf dem Smartphone, benennt sie sich um, ändert das App-Icon und fängt an, aggressiv Werbung auszuspielen, erläutert Bitdefender.

Das klinge zwar nach einer Kleinigkeit. Jedoch nutzten diese Apps ein eigenes Werbe-Framework und könnten damit auch Malware in Anzeigen verteilen. Zudem störe die Werbung und mache das Gesamterlebnis mit dem Handy zunichte. Die Verschleierung erschwere zudem das Aufspüren und Deinstallieren der App durch betroffene Nutzer.

Obwohl die entdeckten Apps eindeutig bösartig seien, waren deren Entwickler in der Lage, sie in den Google Play Store hochzuladen. Zudem konnten sie darüber sogar Updates verteilen, durch die die Apps sich besser verstecken können.

Konkrete Funktionen

Am Beispiel der App GPS Location Maps erklären Bitdefenders IT-Forscher die Funktion der bösartigen Apps. Die sei mit mehr als 100.000 Downloads eine der populärsten Apps gewesen, hatte jedoch keinerlei Bewertungen. Umgehend nach der Installation änderte die App ihre Bezeichnung auf Settings und zeigte zusätzliche Webseiten in WebViews sowie eine Werbung an. WebViews gehören zum Android-Betriebssystem und ermöglicht Apps, Inhalte wie Webseiten, Werbung und weitere zu laden.

GPS Location Maps änderte zudem das App-Icon, um das Auffinden zu erschweren. Auf einigen Geräten forderten die bösartigen Apps zudem die Berechtigung an, die Akku-Optimierungs-Funktion zu umgehen und starteten sogenannte Vordergrund-Dienste mit Benachrichtigungen, die das System nicht beendet, sondern permanent laufen lässt. Viele der Apps forderten auch die Berechtigung an, sich über anderen Apps anzeigen zu lassen. Bitdefender schätzt, dass die Drahtzieher hinter der Malware damit Benutzer-Klicks simulieren, um ihren Profit zu erhöhen.

Die Entwickler haben den Schädlingscode massiv verschleiert, um Reverse Engineering und damit auch die Erkennung von Schadfunktionen zu erschweren. Der Hauptschadcode in Java von GPS Location Maps liegt in zwei verschlüsselten DEX-Dateien. Die Entschlüsselung übernimmt verschleierter nativer Code. Und selbst nach der Entschlüsselung blieben die Java-Code-Strings verschleiert.

In ihrer Meldung gehen die Bitdefender-Forscher detailliert auf die Routinen der Malware ein. So tauchten die bösartigen Apps etwa nicht in der Liste der zuletzt genutzten Apps auf, da sie in den App-Manifesten die Einstellung android:excludeFromRecents="true" vorgeben.

Schutz vor Malware-Apps

Einige sinnvolle Handlungsempfehlungen geben die IT-Sicherheitsforscher auch noch. So sollten Nutzer keine Apps installieren, die sie nicht wirklich benötigten. Zudem sollten sie Apps deinstallieren, die sie nicht länger einsetzten.

Vorsicht sei bei Apps geboten, die hohe Download-Zahlen, aber kaum Nutzerbewertungen vorzuweisen hätten. Wenn Apps besondere Rechte anfordern wie die, sich über andere Apps legen zu dürfen, sollte das ebenfalls ein Warnhinweis sein. Dies gelte für alle Apps, die Berechtigungen anfordern, die nichts mit ihrer angepriesenen Funktion zu tun haben.

Hinter folgenden Paketnamen verbergen sich die bösartigen Apps laut Bitdefender. Android-Nutzer sollten ihr Handy gegebenenfalls darauf untersuchen und sie bei Vorhandensein deinstallieren.

gb.packlivewalls.fournatewren

gb.blindthirty.funkeyfour

gb.convenientsoftfiftyreal.threeborder

gb.helectronsoftforty.comlivefour

gb.fiftysubstantiated.wallsfour

gb.actualfifty.sevenelegantvideo

gb.crediblefifty.editconvincingeight

de.eightylamocenko.editioneight

gb.convincingmomentumeightyverified.realgamequicksix

gb.labcamerathirty.mathcamera

gb.mega.sixtyeffectcameravideo

gb.theme.twentythreetheme

gb.tolltwentytwo.ikey

com.smart.tools.wifi

jkdf.gds.gds.g

com.newsoft.camera

com.xmas.artgirlswallpaperhd

hj.jk.jikj.jkj

com.creator.smartqrcreator

finze.lockgti.dae.cag

kk.f.ea.tew.t

com.xmas.girlsartwallpaper

sc.qs.vak

zzhse.ge.ge.ge.e

ice.ccylice.volume

ck.lad.secret

smart.ggps.lockakt

am.asm.master

com.charging.show

com.voice.sleep.sounds

joao.de.def.e.aew

ifa.nod.vys

qu.motor.astrology

ice.ccylice.colorize

gb.sixtycreativecyber.magiceleganttwo

Cyberkriminellen gelingt es immer wieder, Schadsoftware in den Play Store von Google zu schmuggeln. Sofern sie entdeckt wird, wirft Google sie in der Regel jedoch raus und deinstalliert sie meist auch gleich von den Smartphones. Vor rund einem Monat hat das Unternehmen etwa die Android-Malware Autolycos aus Google Play entfernt, die auf drei Millionen Installationen kam.

(dmk)