32 Abzock-Apps bei Google Play
Virenexperten haben ein Anzeigennetzwerk entdeckt, das Apps aus dem Play-Store zur Verbreitung von Malware benutzt. Wer darauf reinfällt, dem drohen hohe Kosten. Auch ein deutscher Server ist involviert. Sorgen muss man sich hierzulande allerdings nicht.
- Ronald Eikenberg
Die Antivirenfirma Lookout hat 32 Android-Apps bei Google Play entdeckt, die an einem betrügerischen Anzeigennetzwerk teilnehmen. Die auf den Namen BadNews getaufte Werbe-Bibliothek täuscht vor, dass zum Beispiel eine neue Version der Skype-App zur Installation bereitsteht. Statt des versprochenen Updates handelt es bei der verlinkten APK-Datei jedoch unter anderem um die Malware AlphaSMS, welche die Handyrechnung über Premium-SMS-Nachrichten in die Höhe treibt.
Betroffen sind Apps aus zahlreichen Kategorien: unter anderem Diät-Tipps, Rezepte, Spiele und Wörterbücher. Laut den recht unpräzisen Download-Statistiken bei Google Play wurden die BadNews-Apps zusammengenommen zwischen zwei und neun Millionen Mal heruntergeladen. Hierzulande muss man sich allerdings wenig Sorgen machen: Laut Lookout ist rund die Hälfte der Apps in russischer Sprache und auch die untergejubelte Abzock-App AlphaSMS habe es vor allem auf Nutzer in Russland abgesehen.
Damit die zusätzliche Abzock-App installiert werden kann, muss der Nutzer das sogenannte Sideloading aktivieren, das die Installation von Apps an Google Play vorbei freischaltet ("Installation von anderen Apps aus anderen Quellen als dem Play Store zulassen"). BadNews lässt sich – ganz wie ein legitimes Werbenetzwerk – über ein SDK in Apps einbinden. Unklar ist, ob die verseuchten Apps mit der Absicht erstellt wurden, Malware zu verbreiten, oder ob die App-Entwickler den Code in den Glauben, es handele sich um ein legitimes Anzeigennetzwerk, in ihre Apps eingefügt haben.
Die BadNews-Komponente kommuniziert im Vierstundentakt mit einem Command-and-Control-Server, von dem es sich neue Befehle abholt – etwa, welche vermeintlichen Update-Botschaften angezeigt werden sollen. Naheliegend ist die Vermutung, dass sich die betroffenen Apps zum Zeitpunkt der Aufnahme in Google Play noch unauffällig verhalten haben und der Befehl zum Abzocken erst erteilt wurde, als die Apps bereits eine nennenswerte Verbreitung hatten.
Lookout hat bislang drei Command-and-Control-Server, entdeckt – in Russland, in der Ukraine und in Deutschland. Das Unternehmen arbeitet derzeit noch daran, dass die Server vom Netz genommen werden. Die Apps sind bereits aus Google Play geflogen. Darüber hinaus wurden fünf Entwickleraccounts gesperrt. In Deutschland ist Android-Malware nach wie vor seltene Erscheinung. Wer nur Apps von Google Play installiert und das Sideloading abschaltet, der kann sich den Einsatz eines Virenscanners sparen. (rei)