30 Millionen Downloads: Avast entdeckt 50 schädliche Android-Apps im Play Store

Avast hat im Angebot des Google Play Store 50 als schädlich einzustufende Apps gefunden. Die Anwendungen, die sich als legitime Lifestyle-Apps ausgaben, kommen zusammen auf rund 30 Millionen Downloads. Google hat die meisten der fraglichen Apps inzwischen aus seinem Online-Marktplatz entfernt.

Die Sicherheitsforscher haben bei ihrer Analyse festgestellt, dass die Apps eine Gemeinsamkeit haben. Sie nutzen eine spezielle Bibliothek eines Drittanbieters, die es ihnen erlaubt, die mit neuen Android-Versionen eingeführten Beschränkungen für Hintergrund-Dienste zu umgehen.

„Obwohl das Umgehen selbst im Play Store nicht explizit verboten ist, erkennt Avast es als potentiell unerwünschtes Programm (PUP), da Apps, die diese Bibliotheken verwenden, den Akku des Benutzers verschwenden und das Gerät langsamer machen“, erklärten die Forscher. „Die Anwendungen nutzen die Bibliotheken, um dem Benutzer kontinuierlich immer mehr Anzeigen zu zeigen, was gegen die Regeln des Play Store verstößt.“

Die somit als Adware einzustufenden Apps belästigen Nutzer mit unerwünschter Werbung, die im Vollbild angezeigt wird. In einigen Fällen sollen die Anzeigen Nutzer sogar dazu verleiten, weitere Adware herunterzuladen und zu installieren.

Von der fraglichen Bibliothek, die als TsSdk bezeichnet wird, fanden die Forscher zwei unterschiedliche Versionen. Apps mit der älteren Fassung wurden rund 3,6 Millionen Mal installiert. Sie versteckten sich bevorzugt in Spiele, Fitness-Apps und Apps für die Bildbearbeitung.

Für die Apps mit der neueren TsSdk-Version nutzten die Hintermänner vor allem Musik- und Fitness-Apps. Zudem soll die neuere Version verschlüsselten Code nutzen und nur dann Werbung einblenden, wenn Nutzer auf Facebook-Anzeigen klicken. Das „zurückhaltende“ Vorgehen soll den Apps 28 Millionen Downloads eingebracht haben.

Ermöglicht wird das Zusammenspiel mit den Facebook-Anzeigen über eine Funktion des Facebook-SDK namens „deferred Deep Linking“. Sie kann von den schädlichen Apps erkannt und als Auslöser genutzt werden. Werbung zeigen die Apps danach mit abnehmender Häufigkeit an – anfänglich zu festen Uhrzeiten später eher zufällig.

Unter Android 8.x Oreo und 9 Pie sollen die schädlichen Apps nicht korrekt funktionieren. Avast vermutet, dass sie nicht kompatibel sind mit Änderungen beim Umgang mit Hintergrund-Apps, die mit den beiden OS-Versionen eingeführt wurden.