![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Sicherheitsforscher von ESET haben mal wieder 42 Adware-Apps f\u00fcr Android im Google Playstore gefunden. Diese lie\u00dfen sich auf einen vietnamesischen Entwickler zur\u00fcckf\u00fchren.<\/p>\nSicherheitsforscher von ESET haben mal wieder 42 Adware-Apps f\u00fcr Android im Google Playstore gefunden. Diese lie\u00dfen sich auf einen vietnamesischen Entwickler zur\u00fcckf\u00fchren.<\/p>\n
<\/p>\n
Es wurden 42 Apps auf Google Play als Teil der seit Juli 2018 laufenden Kampagne identifiziert. Von diesen 42 Apps waren 21 zum Zeitpunkt der Entdeckung noch verf\u00fcgbar. Die ESET-Sicherheitsforscher haben die Apps an das Google-Sicherheitsteam gemeldet und sie wurden schnell entfernt. Die Apps sind jedoch weiterhin in App-Stores von Drittanbietern verf\u00fcgbar. ESET erkennt diese Werbesoftware als Android\/AdDisplay.Ashas.<\/p>\n Alle Apps bieten die versprochene Funktionalit\u00e4t, enthalten aber zus\u00e4tzliche Adware. Nach dem Start beginnt die App mit ihrem C&C-Server (dessen IP-Adresse in der App base64-kodiert ist) zu kommunizieren. Es sendet \"Home\"-Kenndaten \u00fcber das betroffene Ger\u00e4t: Ger\u00e4tetyp, Betriebssystemversion, Sprache, Anzahl der installierten Anwendungen, freier Speicherplatz, Batteriestatus, ob das Ger\u00e4t gerootet ist und der Entwicklermodus aktiviert ist, und ob Facebook und FB Messenger installiert sind.<\/p>\n Die App empf\u00e4ngt dann Konfigurationsdaten vom C&C-Server, die f\u00fcr die Anzeige von Anzeigen sowie f\u00fcr Stealth und Resilienz ben\u00f6tigt werden. Zurs Tarnung verwendet der Entwickler der Adware eine Reihe von Tricks.<\/p>\n Zun\u00e4chst versucht die b\u00f6sartige Anwendung festzustellen, ob sie vom Sicherheitsmechanismus von Google Play getestet wird. Zu diesem Zweck erh\u00e4lt die App vom C&C-Server das isGoogleIp<\/em>-Flag, das anzeigt, ob die IP-Adresse des betroffenen Ger\u00e4ts in den Bereich der bekannten IP-Adressen f\u00fcr Google-Server f\u00e4llt. Wenn der Server dieses Flag als positiv zur\u00fcckgibt, l\u00f6st die App die Adware-Payload nicht aus.<\/p>\n Zweitens kann die App eine benutzerdefinierte Verz\u00f6gerung bis zur Anzeige der ersten Ads festlegen. Bei den Beispielen, die ESET-Sicherheitsforscher gesehen haben, wurde die Konfiguration so eingestellt, dass die Anzeige der ersten Anzeige um 24 Minuten nach dem Entsperren des Ger\u00e4ts verz\u00f6gert wird. Diese Verz\u00f6gerung bedeutet, dass ein typischer Testvorgang, der weniger als 10 Minuten dauert, kein unerw\u00fcnschtes Verhalten erkennt. Je l\u00e4nger die Verz\u00f6gerung, desto geringer ist das Risiko, dass der Nutzer die unerw\u00fcnschten Anzeigen mit einer bestimmten App verkn\u00fcpft.<\/p>\n Drittens kann die App (basierend auf der Serverantwort ) auch ihr Symbol verstecken und stattdessen eine Verkn\u00fcpfung erstellen. Wenn ein typischer Benutzer versucht, die b\u00f6sartige Anwendung loszuwerden, besteht die M\u00f6glichkeit, dass nur die Verkn\u00fcpfung entfernt wird. Die App l\u00e4uft dann ohne Wissen des Benutzers im Hintergrund weiter. Diese Stealth-Technik erfreut sich zunehmender Beliebtheit bei Adware-bezogenen Bedrohungen, die \u00fcber Google Play verbreitet werden.<\/p>\n Anhand von Open-Source-Informationen haben die Sicherheitsforscher den Entwickler der Adware aufgesp\u00fcrt. Dieser wurde auch als Betreiber der Adware-Kampagne und Eigent\u00fcmer des C&C-Servers identifiziert. Es handelt sich um einen Studenten aus Vietnam. Weitere Details sind im ESET-Beitrag<\/a> oder bei The Hacker News<\/a> zu finden.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher von ESET haben mal wieder 42 Adware-Apps f\u00fcr Android im Google Playstore gefunden. Diese lie\u00dfen sich auf einen vietnamesischen Entwickler zur\u00fcckf\u00fchren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,4328],"class_list":["post-224302","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224302"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224302\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}ESET habt das Ganze in diesem Beitrag<\/a> ver\u00f6ffentlicht. Deren Sicherheitsforscher haben eine umfangreiche Adware-Kampagne entdeckt, die seit etwa einem Jahr l\u00e4uft. Die beteiligten Apps wurden allein von Google Play acht Millionen Mal installiert.<\/p>\n
![\"Adware-Apps\"](\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2019\/10\/Figure-1-1-768x773.png\" "\\"Adware-Apps\\"")
<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n