Barcode-App infiziert Millionen Android-Geräte

Mit einem einzigen Update verwandelte sich der Barcode Scanner von Lavabird Ltd. in ein trojanisches Pferd. Der Barcode Scanner ist eine Android-App, die seit Jahren im offiziellen App-Repository von Google verfügbar war. Die App, die über 10 Millionen Installationen aufweist, bot einen QR-Code-Leser und einen Barcode-Generator. Die mobile Anwendung schien eine legitime, vertrauenswürdige Software zu sein, da viele Anwender die App vor Jahren ohne Probleme installiert hatten – bis vor kurzem.

Laut Malwarebytes beklagen sich Anwender seit Dezember 2020 über unerwartet erscheinende Werbung auf ihren Android-Geräten. Es ist oft der Fall, dass unerwünschte Programme, Werbung und Malvertising mit neuen App-Installationen verbunden sind, aber in diesem Fall berichteten Anwender, dass sie in letzter Zeit nichts installiert hatten.

Bei der Untersuchung konnten die Forscher die App Barcode Scanner als Übeltäter ausmachen. Ein Software-Update, das etwa am 4. Dezember 2020 veröffentlicht wurde, änderte die Funktionen der App so, dass sie ohne Vorwarnung Werbung schaltete. Während viele Entwickler Werbung in ihre Software einbauen, um kostenlose Versionen anbieten zu können – und kostenpflichtige Apps einfach keine Werbung anzeigen – wird die Verschiebung von Apps von nützlichen Ressourcen zu Adware über Nacht in den letzten Jahren immer häufiger.

„Software Development Kits (SDKs) für Werbung können von verschiedenen Drittanbietern stammen und stellen eine Einnahmequelle für den App-Entwickler dar. Es ist eine Win-Win-Situation für alle“, so Malwarebytes. „Die Anwender erhalten eine kostenlose App, während die App-Entwickler und die Entwickler der Ad SDKs bezahlt werden. Aber hin und wieder kann eine Ad-SDK-Firma etwas an ihrem Ende ändern, und die Werbung kann aggressiv werden.“

Manchmal können aggressive Werbepraktiken die Schuld von SDK-Drittanbietern sein – aber das war nicht der Fall, wenn es um Barcode Scanner geht. Stattdessen sagen die Forscher, dass bösartiger Code mit dem Dezember-Update eingeschleust wurde und stark versteckt wurde, um eine Entdeckung zu vermeiden.

Das Update war außerdem mit demselben Sicherheitszertifikat signiert, das auch in früheren, sauberen Versionen der Android-Anwendung verwendet wurde. Malwarebytes meldete seine Erkenntnisse an Google und der Tech-Riese hat die App nun aus Google Play entfernt. Das bedeutet jedoch nicht, dass die App von den betroffenen Geräten verschwindet. Daher müssen Anwender die nun schädliche App manuell deinstallieren.

Nathan Collier von Malwarebytes bilanziert: „Es ist schwer zu sagen, wie lange sich Barcode Scanner als legitime App im Google Play Store befand, bevor sie bösartig wurde. Aufgrund der hohen Anzahl an Installationen und des Feedbacks der Anwender vermuten wir, dass die App schon seit Jahren dort war. Es ist erschreckend, dass eine App mit einem Update zu einer bösartigen Anwendung werden kann, während sie unter dem Radar von Google Play Protect verschwindet. Es ist mir ein Rätsel, dass ein App-Entwickler mit einer beliebten App diese in Malware verwandeln würde. War das die ganze Zeit der Plan, eine App schlummern zu lassen und darauf zu warten, dass sie zuschlägt, nachdem sie populär geworden ist? Ich schätze, wir werden es nie erfahren.“

Die Umwandlung von sauberen SDKs in bösartige Pakete ist nur eine Methode, um den Schutz von Google Play zu umgehen. Zeitprüfungen, lange Anzeigezeiten, die Kompromittierung von Open-Source-Bibliotheken, die von einer App verwendet werden, und dynamisches Laden werden ebenfalls als potenzielle Möglichkeiten für Angreifer genannt, Ihr Mobilgerät zu kompromittieren.

Eine weitere interessante Methode, die von Trend Micro entdeckt wurde, ist die Implementierung einer Bewegungssensorprüfung. Im Jahr 2019 wurde festgestellt, dass Android-Utility-Apps den Banking-Trojaner Anubis enthalten, der sich nur dann entfaltet, wenn ein Anwender sein Gerät bewegt.