13,8 Millionen Downloads: Malware-Apps unter Android und iOS
Ein IT-Sicherheitsunternehmen hat Werbebetrugs-Apps in Google Play und im Apple Store gefunden, die auf insgesamt 13,8 Millionen Downloads kommen.
(Bild: Tada Images/Shutterstock.com)
Das IT-Sicherheitsunternehmen Human hat eine Werbebetrugs-Kampagne aufgedeckt, die Apps für Android und iOS missbraucht. Die Betrüger ergänzen bei der "Scylla" getauften Masche Funktionen, um mehr Werbung auszuspielen und dabei Klickbetrug zu begehen. Es geht um mehr als 75 Apps für Android und über zehn iOS-Apps. Sie kamen auf mehr als 13 Millionen Downloads, bevor Google und Apple sie aus den Stores entfernt haben.
Besonderheiten der Malware
In ihrer Analyse erläutern die IT-Sicherheitsforscher, dass die Apps sogenannte Empfänger (Receiver) nutzen, die Apps über bestimmte Ereignisse informieren; etwa, dass ein Smartphone in den Flugmodus versetzt wird. Die kriminellen Drahtzieher haben Empfänger derart eingesetzt, um damit die Anwesenheit eines Anwenders zu erkennen und dann entweder kontextlos oder sogar unsichtbar Werbung einzublenden.
Derartige kontextlose Werbung ploppt beispielsweise auf dem Startbildschirm im Launcher auf, ohne dass eine App gestartet und damit verknüpft wurde. Solche eingeblendete Werbung ist generell ein Hinweis auf unerwünschte Software auf dem Handy.
Die unsichtbar eingeblendete Werbung mit Webviews im Hintergrund soll ebenfalls die Einnahmen erhöhen. Da geklickte Werbung noch viel mehr Umsatz bringt, können die bösartigen Apps sogar auf die unsichtbare Werbung klicken. Dabei greifen sie mehrere Werbe-SDKs an, sowohl unter iOS als auch Android.
Die Optimierungen gehen jedoch noch weiter, führt Human in dem Bericht aus. Da es sich bei den Malware-Apps zumeist um Spiele handelt, die geringere Werbeeinnahmen generieren als etwa Streaming-Dienste, fälschen die Apps ihre App- und Bundle-ID für das Werbe-SDK und geben sich als "lukrativere" App für die Werbetreibenden aus.
Um die Erkennung zu erschweren, setzen die Malware-App-Programmierer zudem auf Code-Verschleierung durch Allatori, das Code-Elemente durch einzelne Buchstaben und Zahlen ersetzt. Das verkompliziert eine Analyse der Funktionen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Die Apps haben Apple und Google bereits aus ihren Software-Stores entfernt. Da Nutzer sie jedoch auch gegebenenfalls über andere Quellen installiert haben könnten, stellt Human in dem Bericht sogenannte Indicators of Compromise bereit. Diese umfassen je nach Plattform den App-Namen, Bundle-Namen sowie SHA256-Hash. Nutzer sollten diese Apps von ihrem Smartphone deinstallieren.
Malware taucht auch auf Smartphones immer wieder auf, trotz aller Sicherheitsmaßnahmen in den App-Stores der Hersteller. Kürzlich kam etwa der Android-Trojaner Harly auf 4,8 Millionen Downloads. Immerhin entfernen Apple und Google als bösartig erkannte Apps rasch sowohl aus den Stores als auch von betroffenen Smartphones.
(dmk)
