Android-Malware: 440 Mio. Android-Apps mit Adware

Auch im mobilen Bereich ist Schadsoftware unterwegs: Immer wieder gab es in der Vergangenheit Vorfälle von Android-Malware, -Adware oder -Spyware, die es in Googles Play Store schaffte. Wenngleich – verglichen mit dem Vorjahr – ein dezenter Rückgang zu verzeichnen ist, gibt es noch lange keinen Grund, erleichtert die Hände in den Schoß zu legen.

Android-Malware bedroht die App-Sicherheit

Es gibt weder einen neuen Rekord in Sachen Android-Malware, noch Grund zur Entspannung: Im ersten Halbjahr 2019 wurden etwa 1,85 Millionen neue Schad-Apps gezählt. Gegenüber dem Vorjahr bedeutet dies einen kleinen Rückgang von immerhin rund 9 Prozent: Zwischen Januar und Juni des Jahres 2018 zählte mal mehr als 2,04 Millionen infizierte Apps.

Damit sei die Gefahr für Android-Smartphones sowie anderer mobiler Geräte „weiterhin sehr groß“, erklärte Alexander Burris, seines Zeichens Lead Mobile Researcher im Hause G Data. Weiter erklärt Burris: „Gerade weil Smartphones als ständiger Begleiter mittlerweile nahezu unentbehrlich sind, bilden sie für Cyberkriminelle ein attraktives Ziel. Besonders lukrativ sind Adware oder auch Ransomware, welche dem Nutzer direkt schaden.

Millionen Android-Apps mit Schadsoftware

Die Gesamtanzahl aller bekannten Schad-Apps unter Android nähert sich nun der 100-Millionen-Marke: Auf mehr als 94,2 Millionen summierte sich die Anzahl aller bekannten Apps mit Schadcode bis Ende Juni 2019.

Woran mag diese enorme Verbreitung liegen? Das Bedrohungspotenzial, welches unter Android als sehr hoch eingestuft werden darf, wird durch verschiedene Faktoren begünstigt. Die nach wie vor große Fragmentierung bei Android ist einer dieser Faktoren. Rund 60 Prozent aller Android-Geräte setzen auf Versionen, die noch vor August 2017 bereitgestellt wurden und damit schlicht veraltet sind. Burris findet deutliche Worte dafür: „Geräte mit alten Versionen zu nutzen, ist wie ungeschützter Geschlechtsverkehr“. Es lohnt, schon bei der Geräteanschaffung auf die Update-Politik des Herstellers zu schauen.

Es sind jedoch nicht nur veraltete Android-Versionen, sondern auch veraltete Technik, die es den Hackern leicht macht, Android-Malware zu verbreiten. Manchmal spendiert der Hersteller keine Patches fürs Gerät mehr, manchmal verpassen die Nutzer das Einspielen aktueller Updates.

Der dritte Faktor, der zur immensen Verbreitung von Android-Malware beiträgt: Billiggeräte, die vorinstallierte Schadsoftware mit sich tragen. Für den Smartphone-Besitzer ist diese Malware nicht nur unsichtbar, sondern sie lässt sich auch nicht deaktivieren. Online-Kriminelle erhalten Vollzugriff auf Ihr Billig-Gerät sowie auf all Ihre persönlichen Daten. Da die Schadsoftware tief in die Firmware integriert ist, ist es auch ein sinnloses Unterfangen, die Schadsoftware manuell entfernen zu wollen.

Und wie steht Google zu dem Ganzen, ist der Konzern doch nicht nur „Mutter“ von Android, sondern auch noch Betreiber des Play Stores? Schon in 2018 stellte Google Schutzmaßnahmen vor und setzte diese um. Burris dazu: „Die von Google eingeleiteten Maßnahmen zeigen in die richtige Richtung. Ob diese Schritte zu einem dauerhaften Rückgang der Malware-Zahlen führen, wird allerdings die Zukunft zeigen.“ Das Problem fehlender Updates möchte der Konzern unter anderem damit beheben, Systemkomponenten unabhängig von den OEM-Herstellern zu aktualisieren.

SimBad, CooTek und Agent Smith – Sie glauben, das sind TV-(Anti-)Helden? Nicht ganz, wir stellen Ihnen die drei im Folgenden genauer vor.

Android-Malware: SimBad

Es waren wahrscheinlich bis zu 150 Millionen Nutzer, die eine Android-App installiert haben, die die Android-Malware SimBad enthält. Der israelische Sicherheitsanbieter Check Point analysierte die Schadsoftware: Sie versteckte sich in einem Advertising-Kit namens RXDrioder. Viele Entwickler nutzen dieses Tool zum Einblenden von Werbung in ihren Apps. Die meisten davon wussten wahrscheinlich nicht, dass auch sie für die zügige Verbreitung der Malware missbraucht wurden.

Die Forscher von Check Point fanden das schädliche Advertising-Kit in 210 Android-Apps, die über Googles Play Store vertrieben wurden; meist waren die Apps Spiele aus den Kategorien Shooter und Rennsimulation.

Die Apps, die das RXDrioder-SDK verwenden, wurden zügig aus dem Play Store entfernt. Jonathan Shimonovich, R&D Group Manager im Hause Chek Point, erklärte: „Google hat schnell reagiert“. Binnen weniger Wochen habe der Konzern die Apps geprüft und anschließend gelöscht. Welche Apps konkret betroffen waren, können Sie sich im Check Point-Blog ansehen.

App-Entwickler CooTek versteckte Adware

Aus dem Hause CooTek kam mit BeiTaAd eine Adware, die als Plugin in 238 unterschiedlichen Anwendungen über Googles Play Store ausgeliefert wurde. Darunter auch in der beliebten Tastatur-App TouchPal, die mehr als 100 Millionen Mal installiert wurde.

Wie Buzzfeed News berichtete, verbannte Google den aus Shanghai stammenden App-Entwickler CooTek komplett aus dem Play Store. Was passierte, wenn die Adware installiert war? Smartphones wurden nicht nur zur Werbe-Hölle, die Audio- und Videowerbung selbst auf dem Sperrbildschirm abspielten, sondern es wurden teilweise sensible Daten ausgelesen. Über 440 Millionen Mal wurden betroffene Apps geladen!

Sicherheitsforscher des Virenschutz-Herstellers Lookout deckten die Adware auf und analysierten verseuchte Apps. Kristina Balaam, Sicherheitsingenieurin bei Lookout, erklärte in einem Blogbeitrag, dass die Entwickler ihre Adware über mehrere Stufen hinweg verschleiert und so versteckt mitgeliefert haben. Die Adware BeiTaAd verbreitete sich so übers BeiTa-Plugin.

Komplexer Schadcode: Agent Smith

Nicht nur Fans der Matrix-Filmreihe können sich denken, dass eine Malware mit dem Namen „Agent Smith“ nichts Gutes im Schilde führt. Die Malware befällt Android-Geräte, um sich in bekannten und beliebten Apps festzusetzen. Dann verändert „Agent Smith“ die Apps derart, dass Ihnen bald schon unerwünschte Werbung angezeigt wird. Wieder waren es die Forscher des israelischen Sicherheitsanbieters Check Point, die dieser Bedrohung auf die Schliche gekommen sind.

In einem Blogbeitrag erklären die Forscher, dass die Malware in der Lage sei, auch sensible Nutzerdaten zu stehlen. Oft landet der Schadcode über die App-Stores auf den Endgeräten, da sie als harmlose Spiele oder Foto-Apps getarnt sind. Wurden bis Juli 2019 vorrangig Geräte in Indien infiziert, erreichte der Schädling danach auch Deutschland.

Wenngleich die meisten Opfer im asiatischen Raum sitzen (Indien mit 15,2 Millionen infizierten Geräten, Bangladesch mit 2,5 Millionen und Pakistan mit 1,7 Millionen), hat „Agent Smith“ weltweit bereits 25 Millionen Geräte infiziert.

Überraschend sei laut Check Point die Komplexität der Malware. Sie ist in der Lage, Apps auszutauschen und zu manipulieren – ein schwieriger Prozess, der auch noch unbemerkt ablaufen muss, um zu funktionieren. So gelangt über das Schadprogramm bösartiger Code in an sich harmlose Apps und blockiert jedes Update. „Agent Smith“ setzt sich also innerhalb eines Programms fest und spielt dauerhaft unerwünschte oder gar schädliche Werbung ab.

Avast identifiziert Android-Malware und -Adware

Dem Software-Hersteller Avast gelang es, über seine Sicherheitsplattform apklab.io über 50 Adware-Apps in Googles Play Store zu identifizieren. Wie Avast in seinem Blog beschreibt, infizieren die Adware-Apps beim Installieren das Smartphone oder Tablet mit Adware. Diese liefert Werbung aus und ruft zu weiteren App-Installationen auf. Tragisch: Diese Android-Adware wurde weltweit mehr als 30 Millionen Mal heruntergeladen. Noch bevor Avast diese Entdeckung veröffentlichte, entfernte man betroffene Apps in Zusammenarbeit mit Google aus dem Play Store.

Innerhalb der verschiedenen Apps stießen die Avast-Sicherheitsexperten auf eine Third-Party-Library, die unter dem Namen „Android:Agent-SEB [PUB]“ dargestellt wurde. Solche Third-Party-Libraries sind Code-Bibliotheken, die durch externe Quellen bereitgestellt und so in den Code eingebunden werden. Mithilfe solcher Codes lassen sich jene Einschränkungen, die App Store-Betreiber an App-Entwickler stellen, recht einfach stellenweise umgehen.

Apps, die nun diese Library in ihrem Code verwenden, versteckten Adware, die von Avast „TsSdk“ getauft wurde. Abgesehen von der nervigen Werbung und den ständigen Installations-Aufforderungen wirkt sich die Adware möglicherweise auch negativ auf die Akkuleistung des befallenen Geräts aus, stellten die Sicherheitsforscher fest.

Jüngste Meldungen zu Android-Malware

Das waren sie noch nicht alle, die Meldungen rund um Android-Malware. Es gesellen sich noch einige größere Vorfälle hinzu:

Im Juli entdeckte Trend Micro 182 Adware-Apps; 111 davon im Google Play Store. Meist tarnen sie sich als harmlose Kamera-Apps oder als Games. Erschreckend ist, dass die schädlichen Anwendungen insgesamt auf über 9 Millionen Downloads kommen! Wie die jeweilige Schadsoftware vorgeht, ist genauso verschieden wie die Techniken, die sie zum Verschleiern nutzen: Mithilfe verschiedener Techniken gelingt es solchen Schad-Apps, einer Entdeckung zu entgehen und die Löschung deutlich zu erschweren.

Auch im August 2019 waren es die Sicherheitsforscher von Trend Micro, die 85 Anwendungen mit Adware entdeckten. Bevor diese Anwendungen entfernt werden konnten, wurden sie 8 Millionen Mal heruntergeladen. Die Adware führte dazu, dass auf Smartphones unerwünschte Werbung angezeigt wurde – oft versteckt in Gaming- sowie Foto-Apps. Dank ihrer guten Tarnung war die Android-Adware schwer zu entdecken: Erst 30 Minuten nach dem Entsperren des Endgeräts wurde die Adware aktiv und zeigte dem Nutzer Werbung mit bis zu fünf Minuten Länge an – zum Teil sogar auf dem Sperrbildschirm. Weiter versteckt sich die Anwendung im App Drawer. Das führt dazu, dass Nutzer weder Anrufe annehmen noch andere Apps verwenden können.

Zugegeben: Die Zahlen erschrecken, sie wirken beunruhigend. Das ist auch gut so, denn durch diese Aufmerksamkeit lässt sich das Risiko einer Infektion deutlich senken. Weitere Möglichkeiten, von denen Sie neben Ihrem gesunden Menschenverstand Gebrauch machen sollten, ist eine gute Anti-Viren-Software sowie das regelmäßige Einspielen von Updates.