Menü

Google Play: Werbe-Plugin "BeiTaAd" sabotierte Millionen von Android-Geräten

Das Werbe-Plugin "BeiTaAd" verbarg sich unter anderem in der beliebten Android-App TouchPal und 237 weiteren – teils deutschsprachigen – Anwendungen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 44 Beiträge

(Bild: Pexels)

Von

In insgesamt 238 Android-Apps in Googles Play Store steckte bis vor kurzem ein Adware-Plugin, dessen aufdringliche Werbeanzeigen Geräte bisweilen „nahezu unbrauchbar“ gemacht haben soll.

Sicherheitssoftwarehersteller Lookout , der das Plugin entdeckte, beschreibt in einem Blogeintrag, dass die Werbeanzeigen betroffenen Nutzern nicht nur innerhalb der verseuchten Apps angezeigt wurden. Als so genannte „Out-of-app-ads“ mit Audio- und Video-Untermalung seien sie etwa auf den Lockscreens der Geräte aufgetaucht und hätten das Annehmen von Anrufen oder auch die Interaktion mit anderen Apps sabotiert.

Lookout entdeckte das so genannte BeiTaAd-Plugin oder auch BeiTaPlugin ausnahmslos in Apps der in Shanghai ansässigen Firma CooTek. Diese seien insgesamt mehr als 440 Millionen Mal heruntergeladen worden. Die wohl beliebteste App von CooTek, die Emoji-Tastatur TouchPal Tastatur, hat mehr als 100 Millionen Downloads und ist auch in deutscher Sprache verfügbar. Zwar hat Lookout im Blogeintrag keine Liste der analysierten Apps veröffentlicht – wohl aber eine Liste mit Android-Package-Namen, in der TouchPal zweimal auftaucht (com.cootek.smartinputv5.skin.imtouchpal.apk, com.emoji.keyboard.touchpal.apk).

Nutzer der deutschsprachigen TouchPal-Version beschweren sich über die Werbeeinblendungen.

(Bild: Screenshot)

Aus Lookouts Blogeintrag, aber auch aus Diskussionen in Android-Foren geht hervor, dass Nutzer bereits seit Ende 2018 von Problemen mit BeiTaAd beziehungsweise den verseuchten Apps berichteten. Bei der App-Analyse stellten die Lookout-Mitarbeiter fest, dass der BeiTaAd-Code mehrfach überarbeitet wurde, um ihn von Version zu Version immer besser vor Analyseversuchen zu verbergen: Sie berichten von AES-Verschlüsselung, verschiedenen Techniken der Verschleierung, Umbenennungen von Dateien inklusive bewusst falscher Endungen sowie Code-Entschlüsselung zur Laufzeit.

Um möglichst wenig Verdacht bei den Nutzern zu wecken, verzögerten die Entwickler die Werbeeinblendungen um mindestens 24 Stunden nach dem ersten Starten der App. Die von Lookout getestete Anwendung Smart Scan (com.qrcode.barcode.reader.scanner.free) ließ gar zwei Wochen verstreichen, bis die ersten Anzeigen auftauchten.

Lookout informierte Google über seinen Fund und gibt an, sich (laut Blogeintrag zuletzt am 23. Mai) davon überzeugt zu haben, dass die betroffenen Apps aus dem Play Store entfernt oder gegen Versionen ohne das Werbe-Plugin ersetzt worden seien. In Googles Richtlinien für App-Entwickler heißt es unter anderem: „Werbeanzeigen dürfen nicht so geschaltet werden, dass sie zu ungewollten Klicks führen“. Und: „Mit Ihrer App verbundene Werbeanzeigen dürfen weder andere Apps noch andere Werbeanzeigen oder den Gerätebetrieb beeinträchtigen.“ Vorgaben, gegen die BeiTaAd mit seinen Out-of-app-ads klar verstoßen hat.

Nutzer von CooTek-Apps könnten diese also nun aktualisieren, um die Werbung loszuwerden. Angesichts der fehlenden Vertrauenswürdigkeit der Entwickler sind sie aber wohl besser damit beraten, sie komplett zu deinstallieren und künftig auf Apps des Anbieters zu verzichten. (ovw)