Cyberkriminelle haben mal wieder Malware an Hunderttausende von Android-Nutzern verteilt, indem sie diese erfolgreich in einer Reihe von scheinbar harmlosen Apps versteckt haben.
Anzeige
Sieben Android-Apps im Play Store
Die Malware wurde über sieben verschiedene Apps – sechs QR-Scanner und ein "intelligenter Kompass" – in den Google Play-Store eingeschmuggelt, wie ZDNet hier berichtet. Offenbar umgingen die Kriminellen die Sicherheitskontrollen von Google, indem sie die Malwareerkennung über eine Kombination aus cleverer Codierung und Verzögerung der bösartigen Aktivitäten austrickste.
(Quelle: Sophos)
Entdeckt wurden die Apps von Sicherheitsforschern von Sophos, die den Fall im Sophos-Blog dokumentierten. Die Malware mit der Bezeichnung Andr/HiddnAd-AJ könnte mindestens eine Million Nutzer befallen haben, möglicherweise mehr. Sicher ist, dass die App 500.000 Mal aus dem Play Store heruntergeladen wurde, bevor Google die Reißleine gezogen und die Apps entfernt hat.
Trickreicher Ansatz
Die Apps machten im Vordergrund das, was die Beschreibung im Play Store versprach. Nach der Installation wartet die Malware sechs Stunden, bevor sie die eigentlichen Schadfunktionen startete. Die Schadfunktion bestand im Ausspielen von Adware, der Bildschirm des Geräts wurde regelrecht mit Vollbildanzeigen geflutet und der Benutzer durch Öffnen von Anzeigen auf Webseiten und dem Versenden verschiedener Benachrichtigungen mit werbebezogenen Links traktiert.
Anzeige
Ziel war es, über Klicks Einnahmen zu generieren. Und das auch zu Zeiten, wo der Benutzer die App nicht aktiv verwendete. Die Struktur der Malware ermöglicht den Entwicklern beliebige Schadroutinen nachzuladen.
(Quelle: Sophos)
Die Malware bzw. der Code zur Anzeige von Anzeigen wurde dabei von den Cyber-Kriminellen in eine Standard-Android-Programmierbibliothek, die in den Dateien der App eingebettet ist, versteckt. Weitere Code-Teile in einer Grafikkomponente enthielten Anweisungen zur Ermittlung der Informationen, um die Anzeigen auszuspielen.
Sophos informierte Google, welches die Apps nun aus dem Play Store entfernt hat. Die Fälle häufen sich, wo schädliche Apps unter dem Google Radar durchschlüpfen und im Store landen. Trotzdem empfiehlt Sophos weiterhin Apps nur aus dem Store zu laden, da dies immer noch sicherer ist, als Apps aus anderen Quelle zu übernehmen.
Alle diese Aktivitäten sind darauf ausgerichtet, Klick-basierte Einnahmen für die Angreifer zu generieren – auch wenn die App selbst nicht aktiv läuft.
Ähnliche Artikel:
Android-Malware Loapi: Ausgefeilt und kann Gerät killen
Android Malware: Copycat und SpyDealer und Sicherheitslücke
8 Android-Apps im Play Store mit Sockbot Malware gefunden
LeakerLocker: Android Malware/Doxware
Neue ExpensiveWall Android Malware im Google Play Store, 4,2 Millionen Geräte betroffen
Anzeige