Gaming-Apps auf Google Play infizieren Millionen von Nutzern mit Adware

Filip Chytrý 4 Feb 2015

Gaming-Apps auf Google Play infizieren Millionen von Nutzern mit Adware

Vor einigen Tagen kommentierte ein Nutzer in unserem Forum über Apps im Google Play-Store, die Adware enthielten, also den Nutzer mit unerwünschter Werbung belästigen. Zunächst sah die Geschichte nicht sonderlich spektakulär aus, aber beim zweiten Hinsehen stellte sie sich als größer als gedacht heraus. Erstens stehen alle beschriebenen Apps auf Google Play zum Download zur Verfügung, weswegen das Zielpublikum sehr groß ist. Zweitens wurden die Apps schon von Millionen von Nutzern heruntergeladen – und drittens war ich überrascht, dass die Adware teils Werbung für seriöse Unternehmen anzeigte.

Die Durak-Kartenspiel – verfügbar auch auf Deutsch – war die weitverbreiteste der Apps, mit 5-10 Millionen Installationen laut Google Play. Durak_DE Wer Durak installiert, dem wird die App zunächst normal erscheinen. Die App funktioniert als Spiel ohne Probleme. Das Gleiche habe ich bei den anderen beiden Apps festgestellt, einer IQ-Test- und einer Geschichts-App. Dieser Eindruckt bleibt... bis der Nutzer sein Gerät neu startet und ein paar Tage wartet. Nach einer Woche könnte das Gefühl aufkommen, dass mit dem Smartphone etwas nicht stimmt. Manchmal dauert es auch bis zu 30 Tage, bis die Apps ihr wahres Gesicht zeigen. Darin steckt das Debakel: Nach 30 Tagen werden wohl wenige Nutzer erahnen können, welche der Apps ein ungewöhnliches Verhalten auf dem Handy hervorrufen könnte, richtig?

Was passiert also? Jedesmal, wenn der Nutzer sein Gerät entsperrt, wird ihm Werbung eingeblendet, die ihn warnt, dass ein Problem besteht. Beispielsweise heißt es, dass das Gerät infiziert sei, die Software darauf nicht mehr aktuell sei oder das Gerät Porno-Inhalte enthalte. Dies ist allerdings glatt gelogen. Der Nutzer wird dann dazu aufgefordert, etwas zu dagegen zu unternehmen. Wer dem zustimmt, wird wiederum auf betrügerische Seiten umgeleitet, wie dubiose App-Stores oder direkt zu bösartigen Apps, die z.B. hinter dem Rücken des Nutzers Premium-SMS versenden oder schlichtweg übermäßig viele Daten sammeln und dem Verbraucher keinerlei Nutzen bringen würden.

Threats detected malcious apps Eine noch größere Überraschung war, dass einige der Anzeigen den Nutzer auf Sicherheits-Apps bei Google Play weiterleitete. Diese Sicherheits-Apps sind natürlich harmlos – aber würden Sicherheits-Anbieter wirklich ihre Apps via Adware vermarkten wollen? Wer die Sicherheits-Apps installiert, wird das Problem allerdings nicht los – die lästigen Anzeigen tauchen weiter auf.

Diese Art von Schadsoftware kann als gutes Social Engineering bezeichnet werden. Die meisten Nutzer werden nicht auf die Ursache des Problems kommen und jedesmal Anzeigen sehen, wenn sie ihr Gerät entsperren. Zudem glaube ich, dass die meisten Leute den Anzeigen vertrauen und glauben, dass sie ihnen ehrlichen Rat zur Lösung des angeblichen Problems bieten. So folgen sie dann den empfohlenen Schritten und investieren somit evtl. in weitere unseriöse Apps aus nicht vertrauenswürdigen Quellen.

Avast Mobile Premium blockiert diese Apps und schützt den Nutzer damit vor der lästigen Adware. Nutzer sollten allerdings bereits Skepsis walten lassen, wenn sie die App-Beschreibung lesen. Sowohl auf Deutsch als auch auf Englisch ist diese schlecht geschrieben: „Ein Kartenspiel namens «Durak» - eine der häufigsten und bekanntesten, fand sie Anerkennung bei Kindern und Erwachsenen.“

Der Hash-Algorithmus (SHA256) der App ist wie folgt: BDFBF9DE49E71331FFDFD04839B2B0810802F8C8BB9BE93B5A7E370958762836 9502DFC2D14C962CF1A1A9CDF01BD56416E60DAFC088BC54C177096D033410ED FCF88C8268A7AC97BF10C323EB2828E2025FEEA13CDC6554770E7591CDED462D

--> -->