Play Store: Forscher finden Spyware in mehr als 500 Android-Apps

Lookout hat erneut schädliche Android-Apps im Google Play Store gefunden. Mehr als 500 Apps nutzten demnach ein speziell präpariertes Software Development Kit (SDK), um Werbung einzublenden. Allerdings ist das Igexin genannte SDK in der Lage, per Plug-in Funktionen nachzurüsten, die es erlauben, Nutzer ohne ihr Wissen auszuspähen. Zusammen wurden die Apps mehr als 100 Millionen Mal heruntergeladen.

Lookout hat das schädliche Werbe-SDK Igexin unter anderem in den Apps LuckyCash und SelfieCity entdeckt (Screenshot: Lookout).

Die Forscher des Sicherheitsanbieters nennen in einem Blogeintrag zwei Beispiele infizierter Apps: die Fotografie-App Selfie City, die mehr als fünf Millionen Downloads zählt, und die App LuckyCash mit mehr als einer Million Downloads. Unter den 500 infizierten Apps waren aber auch Spiele für Teenager – eines davon mit mehr als 50 Millionen Downloads – sowie eine Wetter-App, eine Internet-Radio-App und mindestens eine weitere Foto-App mit jeweils bis zu 5 Millionen Downloads. Es waren aber auch Bildungs-, Fitness-, Gesundheits- und Emoji-Apps betroffen.

Das aus China stammende Igexin-SDK wirbt damit, dass es Daten über Nutzer wie deren Interessen, Beruf, Einkommen und Standort für Werbezwecke nutzen kann. Auf Igexin aufmerksam wurden die Forscher, weil die fraglichen Apps mit IP-Adressen und Servern kommunizierten, die für die Verteilung von Schadsoftware benutzt werden.

Unter anderem sind Apps mit dem schädlichen Werbe-SDK in der Lage, Log-Dateien auszulesen, die eine Vielzahl von persönlichen Informationen enthalten können. Zudem nutzen sie eine legitime Android-Funktion namens PhoneStateListener, um alle Details über Telefonanrufe aufzuzeichnen. Die Apps informierten ihre Nutzer jedoch nicht darüber, dass sie Zeitpunkt und Nummer jedes Anrufs speichern.

Lookout betont, dass die Entwickler der durchweg legitimen Apps wahrscheinlich nichts von den unerwünschten Funktionen wussten. Sie waren davon ausgegangen, dass sie ein Werbe-SDK einsetzen, das ihnen lediglich hilft, Werbung an die Nutzer ihrer kostenlosen Apps auszuliefern, um damit die Entwicklung der Apps zu finanzieren. Möglicherweise seien auch nicht alle betroffenen Apps per Plug-in um die Spionagefunktionen erweitert worden. Google habe jedoch inzwischen alle betroffenen Apps entfernt und durch Malware-freie Versionen ersetzt.

Unklar ist, ob auch alle Nutzer, die eine der schädlichen Apps heruntergeladen haben, inzwischen ein Update ohne Spyware erhalten haben. Da Android keine Funktion bietet, Nutzer im Nachhinein über solche Malwarefunde zu informieren, könnte es also sein, dass vielen Betroffen gar nicht bewusst ist, dass sie ein zumindest unerwünschtes Programm auf ihrem Smartphone oder Tablet hatten oder sogar noch haben.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.