Neue Malware in Android-Apps entdeckt, 500.000 Downloads

Publiziert am 27. März 2018 von Günter Born

Cyberkriminelle haben mal wieder Malware an Hunderttausende von Android-Nutzern verteilt, indem sie diese erfolgreich in einer Reihe von scheinbar harmlosen Apps versteckt haben.

Anzeige

Sieben Android-Apps im Play Store

Die Malware wurde über sieben verschiedene Apps – sechs QR-Scanner und ein "intelligenter Kompass" – in den Google Play-Store eingeschmuggelt, wie ZDNet hier berichtet. Offenbar umgingen die Kriminellen die Sicherheitskontrollen von Google, indem sie die Malwareerkennung über eine Kombination aus cleverer Codierung und Verzögerung der bösartigen Aktivitäten austrickste.

Android-Apps mit Malware 
(Quelle: Sophos)

Entdeckt wurden die Apps von Sicherheitsforschern von Sophos, die den Fall im Sophos-Blog dokumentierten. Die Malware mit der Bezeichnung Andr/HiddnAd-AJ könnte mindestens eine Million Nutzer befallen haben, möglicherweise mehr. Sicher ist, dass die App 500.000 Mal aus dem Play Store heruntergeladen wurde, bevor Google die Reißleine gezogen und die Apps entfernt hat.

Trickreicher Ansatz

Die Apps machten im Vordergrund  das, was die Beschreibung im Play Store versprach. Nach der Installation wartet die Malware sechs Stunden, bevor sie die eigentlichen Schadfunktionen startete. Die Schadfunktion bestand im Ausspielen von Adware, der Bildschirm des Geräts wurde regelrecht mit Vollbildanzeigen geflutet und der Benutzer durch Öffnen von Anzeigen auf Webseiten und dem Versenden verschiedener Benachrichtigungen mit werbebezogenen Links traktiert.

Ziel war es, über Klicks Einnahmen zu generieren. Und das auch zu Zeiten, wo der Benutzer die App nicht aktiv verwendete. Die Struktur der Malware ermöglicht den Entwicklern beliebige Schadroutinen nachzuladen.

(Quelle: Sophos)

Die Malware bzw. der Code zur Anzeige von Anzeigen wurde dabei von den Cyber-Kriminellen in eine Standard-Android-Programmierbibliothek, die in den Dateien der App eingebettet ist, versteckt. Weitere Code-Teile in einer Grafikkomponente enthielten Anweisungen zur Ermittlung der Informationen, um die Anzeigen auszuspielen.

Sophos informierte Google, welches die Apps nun aus dem Play Store entfernt hat. Die Fälle häufen sich, wo schädliche Apps unter dem Google Radar durchschlüpfen und im Store landen. Trotzdem empfiehlt Sophos weiterhin Apps nur aus dem Store zu laden, da dies immer noch sicherer ist, als Apps aus anderen Quelle zu übernehmen.

Anzeige

Alle diese Aktivitäten sind darauf ausgerichtet, Klick-basierte Einnahmen für die Angreifer zu generieren – auch wenn die App selbst nicht aktiv läuft.

Ähnliche Artikel:
Android-Malware Loapi: Ausgefeilt und kann Gerät killen
Android Malware: Copycat und SpyDealer und Sicherheitslücke
8 Android-Apps im Play Store mit Sockbot Malware gefunden
LeakerLocker: Android Malware/Doxware
Neue ExpensiveWall Android Malware im Google Play Store, 4,2 Millionen Geräte betroffen

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.