Unschön: Android-Geräte mit vorinstallierten Adware-Apps

[English]Sicherheitsanbieter Avast schlägt Alarm: Android-Geräte werden mit vorinstallierter Schadsoftware ausgeliefert. Tausende Nutzer rund um den Globus sind davon betroffen, dass mobile Adware auf brandneuen Geräten ausgeliefert wird.


Anzeige

Wenn man sich ein Android-Gerät kauft, ist es schon ärgerlich, wenn da Bloatware in Form von Apps vorinstalliert ist. Kriminell wird es, wenn diese Apps dann Schadcode enthalten, die den Nutzer über Adware mit Werbeanzeigen bombardieren.

Das Avast Threat Lab warnt vor Adware

Das Avast Threat Lab hat vorinstallierte Adware, also unerwünschte Apps, die den Nutzer mit Werbung zuspammen, auf fast 1.000 verschiedenen Android-Modellen gefunden – darunter auch Geräte von Herstellern wie ZTE, Archos und myPhone. Die Mehrzahl dieser Geräte wurde von Google nicht zertifiziert.

Adware Cosiloon

Die Adware mit dem Namen „Cosiloon" blendet im Browser unerwünscht Werbung ein. Tausende Nutzer sind betroffen; alleine in den vergangenen Monaten hat Avast die aktuelle Version der Adware auf rund 18.000 Geräten von Nutzern aus über 100 Ländern erkannt – die Top 10 führt Russland an, gefolgt von Italien, Deutschland, Großbritannien, Ukraine, Portugal, Venezuela, Griechenland, Frankreich und Rumänien.

Alter Bekannter

Die Adware wurde bereits im Januar 2016 von Experten bei Dr. Web beschrieben und war mindestens in den vergangenen drei Jahren aktiv. Sie ist schwer zu entfernen, da sie immer wieder über einen sogenannten Dropper geladen wird, also eine App, die darauf programmiert ist, im Hintergrund Schadprogramme auf das Smartphone herunterzuladen. Dieser Dropper ist auf der Firmware-Ebene des Smartphones fest installiert und verwendet starke Verschleierungsmechanismen.

Google muss reagieren

Avast steht in Kontakt mit Google, dessen Sicherheitsexperten bereits Schritte in die Wege geleitet haben, um die schädlichen Auswirkungen auf verschiedenen Gerätemodellen zu bekämpfen. Google hat dafür intern entwickelte Technologien im Einsatz.


Anzeige

Zusätzlich wurde Google Play Protect aktualisiert, um sicherzustellen, dass diese Apps in Zukunft erkannt werden. Doch nachdem die Dropper mit der Firmware vorinstalliert sind, ist es schwierig, das Problem zu lösen. Google hat sich auch an die Entwickler der Firmware gewandt, um auf das Problem aufmerksam zu machen und sie gebeten, dagegen vorzugehen. 

Nichts neues bei Android-Geräten

Avast hat in den letzten Jahren immer wieder sehr sonderbare Android-Schädlinge entdeckt. Die vorliegenden Exemplare sind eigentlich wie jede andere Adware, mit der Ausnahme, dass hierbei nicht klar ist, wie und wann sie auf die Geräte gelangte. Es gibt die Adware unter diversen ähnlichen Namen, die meisten davon lauten wie folgt:

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

Es ist unklar, wie die Adware auf die Geräte gelangt ist. Der Kontrollserver wurde laufend mit neuem Payload aktualisiert. Auch die Hersteller haben weiterhin neue Geräte mit dem vorinstallierten Dropper verkauft.

Antiviren-Apps erkennen die Schad-Apps

Einige Antiviren-Apps auf dem Handy erkennen die Adware natürlich, aber der Dropper installiert diese nach der Entfernung gleich wieder. Der Dropper selbst lässt sich zudem nicht entfernen – und damit hat das Handy eine dauerhafte Schwachstelle, die es unbekannten Dritten ermöglicht, unerwünschte Software zu installieren. Bislang hat Avast lediglich entdeckt, dass der Dropper Adware nachlädt, aber es könnte künftig auch Spyware oder Erpressersoftware sein.

C&C Server deaktivieren erfolglos

Avast hat versucht, den C&C Server mit Cosiloon deaktivieren zu lassen und entsprechende Anfragen an die Domain-Registrierungsstelle und den Service-Provider geschickt. Der erste Provider, ZenLayser, hat zeitnah reagiert und den Server abgeschaltet, aber er wurde einige Zeit später bei einem anderen Provider wieder aktiviert. Um ihn endgültig zu stoppen, muss die cosiloon.com-Domain geblockt werden, über die der Payload nachgeladen wird. Dies ist aber trotz der Kontaktaufnahme von Avast mit der Domain-Registrierungsstelle bislang noch nicht passiert.

Ohne Wissen der Hersteller infiziert

„Infizierte Apps können leider schon vor dem Verkauf auf Firmware-Ebene installiert werden – vermutlich ohne Wissen oder Zutun der Hersteller", erklärt Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security bei Avast. „Wenn eine App auf der Firmware-Ebene installiert wurde, ist es sehr schwer, sie zu löschen. Dazu bedarf es einer Zusammenarbeit von IT-Security-Herstellern, Google und den Erstausstattern, also den OEMs. Nur zusammen können wir mehr Sicherheit für die Android-Nutzer erreichen."

Avast Mobile Security erkennt den Payload und kann diesen löschen, aber es kann aufgrund fehlender Zugriffsrechte nicht den Dropper selbst unschädlich machen – diese Aufgabe muss Google Play Protect übernehmen. Seit Google Play Protect den Schädling Cosiloon erkennt, ist die Zahl der Geräte mit neuem Payload laut Avast Threat Lab bereits zurückgegangen.

So erkennt/entfernt man den Dropper

Wenn ein Anwender unter Einstellungen/Apps den Dropper findet, (er hat Namen wie „CrashService", „ImeMess" oder "Terminal" mit einem allgemeinen Android-Icon), kann er ihn über den „Deaktivieren"-Button in den Einstellungen ausschalten – das funktioniert aber nicht bei jedem Android-Gerät. Sobald der Dropper auf diesem Weg deaktiviert wurde, kann Avast Mobile Antivirus den Payload auch für immer entfernen.

Avast Mobile Security steht unter anderem auch im Google Play Store zum kostenlosen Download bereit. Avast (www.avast.com) ist ein Hersteller von digitalen Sicherheitsprodukten.

Ähnliche Artikel
Erneut Android-Smartphones mit pre-installed Malware
Achtung: Autorooting Android-Malware LevelDropper
LeakerLocker: Android Malware/Doxware
Android Malware: Copycat und SpyDealer und Sicherheitslücke
Android-Malware DressCode in Google Play-Apps


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Unschön: Android-Geräte mit vorinstallierten Adware-Apps

  1. W Rohr sagt:

    Hallo Herr Born,
    danke für diesen aufschlussreichen Artikel.
    Mein Smartphone ist wohl derzeit nicht betroffen.
    Aber: ich habe einen Android-Emulator, MEMU, auf meinem Windows-Laptop laufen, wegen meinem Spiel, und interessanter Weise habe ich seit kurzem die Meldung, dass ein eMediaService beendet wurde. Der Sache werde ich jetzt natürlich auf den Grund gehen. Hat mich bisher nicht gestört, weil ich den wirklich nur für mein Spiel benutze (grösserer Bildschirm ;-) ).
    Ich wünsche noch einen schönen Tag.

    • Ah wieder so einer der sich im spiel Vorteile verschafft lol

      Aber ich nutze auch so einen Android-Emulator zwar nicht zum Spielen und nur in einer VM, aber mich Wundert schon lange überhaupt nichts mehr, Schaun wir mal ob die "none of your business" Aktion da vielleich sogar etwas ändert.

      Nach langwierigen Test habe ich nun den Fehler an meinem Windows Phone entdeckt, lol war die Speicherkarte, lässt sich weder Formatieren noch Löschen, (war eine nicht so ganz billige ADATA 64GB microSDXC1 ) ist sozusagen zu einem Festen Speichermedium geworden wie eine CDROM.
      Kein wunder also das seit fast einem halben Jahr nichts mehr gespeichert wurde und das alles ohne einer Fehlermeldung ich kann es kaum glauben, eigentlich ein Fast perfektes Speichermedium nur das dort noch 30GB an Daten drauf sind die man nicht löschen kann.

      • Schade das es keinen "Ich möchte noch was ändern" Button mehr gibt, wieso ist der nicht mehr da Günter?

        • Günter Born sagt:

          Hatte ich die Tage hier schon mal beantwortet – schickt ein Danke an die DSGVO und die in diesem Rahmen ausgerollten Updates von WordPress. Wenn ich irgendwann wieder etwas Ruhe habe, werde ich mich um das Thema kümmern und hoffentlich eine Lösung finden – der Plugin-Autor ist informiert.

          • Günter Born sagt:

            Ein einfacher Test – wenn das jetzt eingerückt wird – ist das Plugin wieder aktiviert und funktioniert auch wieder korrekt.

            Ok, es scheint wieder korrekt zu funktionieren. Inzwischen wurden einige Plugins zur GDPR aktualisiert – keine Ahnung, woran es gehangen hat. Das ist der Mist, mit dem ich mich neben Bloggen inzwischen häufiger auseinander setzen muss – dabei arbeite ich hier schon extrem sparsam mit Anpassungen und Erweiterungen.

Schreibe einen Kommentar zu W Rohr Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.