IT-Sicherheitsforscher von Check Point sind auf eine Adware-Kampagne im Google Play Store gestoßen. Die zugehörigen Apps – das IT-Sicherheitsunternehmen spricht von insgesamt über 15 Stück – waren teils ganz weit oben im Google Play Store gelistet und kamen zusammen auf mehr als eine Million Downloads.
Die Apps seien als Cleanup- oder Emoji-Apps getarnt gewesen, erklärt Check Point in einer Analyse. Sie belasten den Smartphone-Akku und das Datenvolumen des Handyvertrags: „Nach der Installation starteten sie dauerhafte Werbeschleifen im Hintergrund, die sich nicht beenden ließen und sogar nach dem Neustart des Geräts weiterliefen“. Die Smartphones Betroffener – vorrangig Privatnutzerinnen und -nutzer – hätten die Täter so in Werbefarmen verwandelt. Teils wurden Apps millionenfach heruntergeladen, eine App, „GenMoji Studio“ landete unter den kostenlosen Apps sogar auf Platz zwei in Google Play.
Zwar befindet sich die Zielgruppe vorrangig in Ost- und Südostasien, wo drei Viertel der Betroffenen leben, aber auch in Europa, Afrika und Israel waren Installationen zu verzeichnen. Eine gezielte Kampagne, die auf eine Zielgruppe zugeschnitten ist, scheint laut Check Point daher nicht hinter „GhostAd“ zu stecken, sondern die bösartigen Akteure setzten auf allgemeines Interesse an den Funktionen der Apps. Zu ihrem Höhepunkt waren mindestens 15 Apps auf Google Play verfügbar.
Als die Untersuchungen starteten, waren es noch immer fünf. Die Apps blieben trotz ihrer Reichweite seit Anfang Oktober auf Google Play verfügbar, wo es weiter zu neuen Downloads kam. Nutzerinnen und Nutzer hinterließen nach kurzer Zeit in den Reviews zu den Apps Beschreibungen von Problemen wie ständig aufpoppender Werbung, verschwindende App-Icons beim Deinstallationsversuch sowie langsamer werdende und hakeliger reagierende Geräte.
Nachdem die Check-Point-Analysten Google über die erkannten Apps informiert hatte, gab das Unternehmen an, sie entfernt zu haben – einige bereits vor der Benachrichtigung, andere erst danach. Google Play Protect putzt die identifizierten Apps zudem ebenfalls von den Smartphones, unabhängig von ihrer Download-Quelle.
GhostAd installiert sich als Vordergrund-Dienst und erlangt dadurch persistente Ausführung. Zwar zeigt es eine nicht entfernbare Benachrichtigung an, die bleibt jedoch schlicht leer und zeigt lediglich den App-Namen. Ein Aufgabenplaner löst alle paar Sekunden zudem das Laden von Werbung aus. Selbst, wenn Android den Dienst beendet, startet er nahezu unmittelbar wieder neu. GhostAd integriere mehrere legitime Advertising-Software-Development-Kits, nutzt sie jedoch so, dass es gegen Faire-Use-Richtlinien verstößt. Anstatt auf Nutzerinteraktion zu warten, laden die Apps immer weitere Werbung, reihen sie ein und erneuern sie im Hintergrund.
In den Nutzerberichten finden sich daher auch entsprechende Kommentare. Check Point zitiert einige, etwa „Sie übernimmt dein Smartphone wie ein Virus“, „Das ist die schlechteste App, die ich je genutzt habe – sie stört meine Privatsphäre und übernimmt andere Apps für Werbung“, „Installiere diese App nicht! Sie blockiert dich, sodass du dein Smartphone nicht nutzen kannst, mit nervigen Pop-ups alle zehn Sekunden“ sowie „SCHLECHTESTE APP ÜBERHAUPT. Sie verschwindet, wenn du versuchst, sie zu deinstallieren, während sie Mengen und Mengen an Werbung in dein Smartphone kippt“.
Auch wenn die GhostAd-Kampagne keine Daten stiehlt oder kein klassisches Malware-Verhalten zeige, störe sie ungemein. Sie sorgt durch das stillschweigende Übernehmen von Systemressourcen für die Werbeauslieferung zu Performance- und Nutzerbarkeitsproblemen bei Betroffenen. Sie saugt den Akku leer, ist trügerisch bezüglich versteckter Icons und leerer Benachrichtigungen und erschwert so die Entfernung. Am Ende nennt Check Point noch fünf Hashwerte als Indicators of Compromise (IOCs), die App-Namen, nach denen sich leichter suchen ließe, jedoch nicht.
Ende August hatten IT-Sicherheitsforscher 77 Malware-Apps im Google Play Store entdeckt. Sie kamen auf etwa 19 Millionen Installationen.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo