Google hat mehr als 40 Apps mit einer Malware aus seinem Play Store entfernt, die heimlich bestimmte Webseiten aufruft und dort Werbebanner anklickt. Anlass ist der wohl größte bislang entdeckte Fall von Anzeigenbetrug.

Die Sicherheitsexperten von Checkpoint haben am vergangenen Donnerstag Machenschaften der südkoreanischen Firma Kiniwini enthüllt, die in 41 Android-Apps, überwiegend Computerspielen, eine Funktion zum Anzeigenbetrug verborgen hat. Diese bislang von mehr als 36 Millionen Nutzern heruntergeladene Malware öffnet im Hintergrund bestimmte Webseiten von Kiniwini, lokalisiert per JavaScript darauf angezeigte Werbebanner der Google-Ads-Infrastruktur und betätigt darauf zahlreiche Klicks. Kiniwini soll daraus monatliche Werbe-Tantiemen in der Größenordnung von 300.000 US-Dollar erzielt haben.

Diese Form der Malware ist schwer zu entdecken, weil sie beim Anwender gar keinen spürbaren Schaden anrichtet und zudem keine weiter reichenden Berechtigungen benötigt als die zum allgemeinen Internet-Zugriff. Google verwendet zwar für seinen Play Store eine Technik namens Bouncer, um solche Adware aus dem Shop fern zu halten. Doch die Kiniwini-Software lädt die Malware-Funktionen offenbar erst nach, wenn die jeweilige App bereits installiert ist und sich abseits des Goolge-Shops bei ihrem Hersteller registriert hat. So erklärt sich, warum die Betrugs-Apps, darunter Apps der Serien Chef Judy und Fashion Judy, nicht einmal für Antivirenprogramme einfach erkennbar sind. Laut Medienbericht hat Google die betreffenden Anwendungen nach dem Hinweis durch Checkpoint sofort aus dem Store entfernt. Einige davon sind zwar nach Angaben der Sicherheitsfirma schon seit mehreren Jahren im Google-Store abrufbar gewesen, wurden aber erst kürzlich aktualisiert. Wie lange der Anzeigenbetrug schon stattfindet, ist unbekannt.

Kiniwini, das im Google-Store unter dem Namen Enistudio firmiert, vertreibt sowohl Android- als auch iOS-Apps. Der Hersteller hat verlautbaren lassen,die blockierten Spiele ließen sich jetzt zwar unglücklicherweise nicht mehr herunterladen. Anwender, die sie schon installiert und danach nicht gelöscht hätten, könnten sie aber weiterhin benutzen, und im Übrigen sei innerhalb von zwei Monaten mit neuen Versionen zu rechnen. (hps)