Google entfernt drei Adware-Apps mit Zeitzünder aus seinem Play Store

Google hat drei Anwendungen aus seinem Play Store gelöscht, die Nutzer mit Verzögerung mit unerwünschter Werbung für andere Apps belästigten. Die fraglichen Adware-Apps wurden gestern von Avast an Google gemeldet, nachdem sie sich bereits millionenfach verbreiten konnten. Laut der Sicherheitsfirma hatten sie trotz eines eindeutig auffälligen Verhaltens Googles Play-Store-Überprüfung passiert.

Eine der drei Apps, ein an englischsprachige Nutzer gerichtetes Kartenspiel namens „Durak“, wurde seit Dezember zwischen 5 und 10 Millionen Mal installiert, wie aus Googles Statistik hervorgeht. Bei den beiden anderen Anwendungen, die auf russischsprachige User abzielten, handelt es sich um einen IQ-Test und eine Wissens-App zur russischen Geschichte.

Die inzwischen gelöschte Kartenspiel-App Durak wurde millionenfach installiert (Screenshot: Avast).

Ein Betroffener demonstrierte schon im Januar in einem Youtube-Video die Funktionsweise der Adware-Apps: Sobald sein Gerät aufwachte, zeigte die Anwendung Mitteilungen in Form von Systembenachrichtigungen an, die ihn aufforderten, auf „Ok“ zu klicken, um scheinbare Probleme – etwa mit einer langsamen Internetverbindung – zu beheben. Kam er dieser Aufforderung nach, wurde er zu anderen Apps im Play Store weitergeleitet. Laut Filip Chytry, Mobile-Malware-Analyst bei Avast, versuchten die Adware-Apps in einigen Fällen sogar, Anwender auf Drittanbieter-App-Stores umzulenken.

Das Perfide an ihnen war, dass sie anfangs noch wie beschrieben funktionierten, was auch die millionenfachen Installationen erklärt. Erst nach einem Neustart des Geräts und einer mehrtägigen Wartezeit traten die beschriebenen Anomalien auf. „Nach einer Woche könnte das Gefühl aufkommen, dass mit dem Smartphone etwas nicht stimmt. Manchmal dauert es auch bis zu 30 Tage, bis die Apps ihr wahres Gesicht zeigen“, schreibt Chytry in einem Blogbeitrag. „Nach 30 Tagen werden wohl wenige Nutzer erahnen können, welche der Apps ein ungewöhnliches Verhalten auf dem Handy hervorrufen könnte, richtig?“

Die Adware-Apps zeigten solche gefälschten Warnhinweise an (Bild: Avast).

Darin besteht das eigentliche Problem der Nutzer, die diese Apps installiert haben: Es ist schwierig zu sagen, welche installierte Anwendung die falschen Einblendungen auslöst und welche man entsprechend löschen sollte. Die Nachrichten werden auch dann angezeigt, wenn eine reguläre Sicherheitslösung auf dem Gerät installiert ist.

Google hat innerhalb eines Tages auf Avasts Hinweis reagiert und die besagten Apps entfernt. Allerdings behaupten Nutzer im Avast-Forum, dass sie den Internetkonzern schon Ende Januar auf die Schadprogramme hingewiesen hätten.

In den letzten Jahren hat Google seine Entwickler-Richtlinien mehrfach verschärft, um Betrugsversuchen Einhalt zu gebieten. Beispielsweise untersagt es neben der Verbreitung von Viren, Würmern und Trojanern auch Werbung in Systembenachrichtigungen. Wörtlich heißt es: „Apps sowie die darin enthaltenen Anzeigen dürfen in Systembenachrichtigungen auf dem Gerät des Nutzers keine Werbung schalten, es sei denn, bei den Benachrichtigungen handelt es sich um einen integralen Bestandteil der installierten App.“ Aber dennoch tauchen immer wieder Adware-Anwendungen wie diese im Play Store auf.

Im vorliegenden Fall wurden die schädlichen Anzeigen durch drei rechtmäßige Drittanbieter-Werbenetzwerke ausgeliefert. Die Instruktionen zur Anzeige der Werbung – sowie die für die Apps, zuvor einige Wochen zu warten – sind in einer APK-Datei des Advertising Software Development Kit (SDK) enthalten.

Ein Avast-Forennutzer führt dazu aus: „Die APK-Datei enthält eine Konfigurationsdatei für das Ad-SDK ‚mobi.dash‘. Sie heißt ‚ads_settings.json‘ und ist im Ordner ‚res\raw‘ gespeichert. Darin ist festgelegt, wie lange die App bis zur Anzeige der Werbung warten soll. Außerdem enthält die APK-Datei Schadcode innerhalb des Pakets ‚mobi.dash.*‘. Beispielsweise gibt es eine Klasse namens ‚mobi.dash.homepage.AdsHomepageUtils‘, die die Browser-Startseite ändern kann, und eine ‚mobi.dash.shortcuts.AdsShortcutUtils‘, die Launcher-Verknüpfungen erstellt, wenn der Kommandoserver den entsprechenden Befehl sendet.“

[mit Material von Liam Tung, ZDNet.com]