Categories: MobileMobile Apps

Barcode-App infiziert Millionen Android-Geräte

Mit einem einzigen Update verwandelte sich der Barcode Scanner von Lavabird Ltd. in ein trojanisches Pferd. Der Barcode Scanner ist eine Android-App, die seit Jahren im offiziellen App-Repository von Google verfügbar war. Die App, die über 10 Millionen Installationen aufweist, bot einen QR-Code-Leser und einen Barcode-Generator. Die mobile Anwendung schien eine legitime, vertrauenswürdige Software zu sein, da viele Anwender die App vor Jahren ohne Probleme installiert hatten – bis vor kurzem.

Laut Malwarebytes beklagen sich Anwender seit Dezember 2020 über unerwartet erscheinende Werbung auf ihren Android-Geräten. Es ist oft der Fall, dass unerwünschte Programme, Werbung und Malvertising mit neuen App-Installationen verbunden sind, aber in diesem Fall berichteten Anwender, dass sie in letzter Zeit nichts installiert hatten.

Bei der Untersuchung konnten die Forscher die App Barcode Scanner als Übeltäter ausmachen. Ein Software-Update, das etwa am 4. Dezember 2020 veröffentlicht wurde, änderte die Funktionen der App so, dass sie ohne Vorwarnung Werbung schaltete. Während viele Entwickler Werbung in ihre Software einbauen, um kostenlose Versionen anbieten zu können – und kostenpflichtige Apps einfach keine Werbung anzeigen – wird die Verschiebung von Apps von nützlichen Ressourcen zu Adware über Nacht in den letzten Jahren immer häufiger.

„Software Development Kits (SDKs) für Werbung können von verschiedenen Drittanbietern stammen und stellen eine Einnahmequelle für den App-Entwickler dar. Es ist eine Win-Win-Situation für alle“, so Malwarebytes. „Die Anwender erhalten eine kostenlose App, während die App-Entwickler und die Entwickler der Ad SDKs bezahlt werden. Aber hin und wieder kann eine Ad-SDK-Firma etwas an ihrem Ende ändern, und die Werbung kann aggressiv werden.“

Manchmal können aggressive Werbepraktiken die Schuld von SDK-Drittanbietern sein – aber das war nicht der Fall, wenn es um Barcode Scanner geht. Stattdessen sagen die Forscher, dass bösartiger Code mit dem Dezember-Update eingeschleust wurde und stark versteckt wurde, um eine Entdeckung zu vermeiden.

Das Update war außerdem mit demselben Sicherheitszertifikat signiert, das auch in früheren, sauberen Versionen der Android-Anwendung verwendet wurde. Malwarebytes meldete seine Erkenntnisse an Google und der Tech-Riese hat die App nun aus Google Play entfernt. Das bedeutet jedoch nicht, dass die App von den betroffenen Geräten verschwindet. Daher müssen Anwender die nun schädliche App manuell deinstallieren.

Nathan Collier von Malwarebytes bilanziert: „Es ist schwer zu sagen, wie lange sich Barcode Scanner als legitime App im Google Play Store befand, bevor sie bösartig wurde. Aufgrund der hohen Anzahl an Installationen und des Feedbacks der Anwender vermuten wir, dass die App schon seit Jahren dort war. Es ist erschreckend, dass eine App mit einem Update zu einer bösartigen Anwendung werden kann, während sie unter dem Radar von Google Play Protect verschwindet. Es ist mir ein Rätsel, dass ein App-Entwickler mit einer beliebten App diese in Malware verwandeln würde. War das die ganze Zeit der Plan, eine App schlummern zu lassen und darauf zu warten, dass sie zuschlägt, nachdem sie populär geworden ist? Ich schätze, wir werden es nie erfahren.“

Die Umwandlung von sauberen SDKs in bösartige Pakete ist nur eine Methode, um den Schutz von Google Play zu umgehen. Zeitprüfungen, lange Anzeigezeiten, die Kompromittierung von Open-Source-Bibliotheken, die von einer App verwendet werden, und dynamisches Laden werden ebenfalls als potenzielle Möglichkeiten für Angreifer genannt, Ihr Mobilgerät zu kompromittieren.

Eine weitere interessante Methode, die von Trend Micro entdeckt wurde, ist die Implementierung einer Bewegungssensorprüfung. Im Jahr 2019 wurde festgestellt, dass Android-Utility-Apps den Banking-Trojaner Anubis enthalten, der sich nur dann entfaltet, wenn ein Anwender sein Gerät bewegt.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

SOCs fehlen Fachleute

Ein Security Operation Center (SOC) erfordert einen hohen Personalaufwand und die dafür nötigen Sicherheitsexperten sind…

14 Stunden ago

Nachhaltigkeit ist ein Muss

Die Umwelt verzeiht nichts und in jedem Unternehmen gibt es Stellschrauben, um den Umweltschutz zu…

14 Stunden ago

Triage mit Künstlicher Intelligenz

Bei Triage geht es darum, schwere Fälle zu priorisieren. Weil die IT-Experten von einer Vielzahl…

15 Stunden ago

Ransomware-Attacken zurück im Geschäft

Doch keine Sommerpause: Nach einem leichten Rückgang zu Beginn des Jahres hat die Zahl der…

16 Stunden ago

Datenschutz & LinkedIn

Von über 830 Millionen Mitgliedern weltweit verwaltet das kalifornische Online-Karriereportal LinkedIn inzwischen Daten und Kontakte.…

4 Tagen ago

Matter: Neuer Standard für Smart Home

Die Connectivity Standards Alliance (CSA) will Matter zum neuen Konnektivitätsstandard für Smart Homes machen.

4 Tagen ago