Malware bei Google Play

Die vier Apps, die als bösartig identifiziert wurden, stammen von einem Entwickler namens Mobile apps Group und hießen „Bluetooth Auto Connect“, „Bluetooth App Sender“, „Mobile transfer: smart switch“ und „Driver: Bluetooth, Wi-Fi, USB“. Google hat eine Reihe von Apps aus dem Google Play Store entfernt, die von über einer Million Android-Nutzern heruntergeladen wurden und die Smartphones mit Malware infizierten und die Geräte mit bösartiger Pop-up-Werbung bombardierten.

Die Malware wurde von den Cybersecurity-Forschern von Malwarebytes detailliert beschrieben. Die Apps konnten noch einige Tage nach der Veröffentlichung der Studie heruntergeladen werden, wurden aber inzwischen wieder entfernt. „Die in dem Bericht genannten Apps sind nicht mehr bei Google Play verfügbar und der Entwickler wurde gesperrt“, sagte ein Google-Sprecher gegenüber ZDNET. Auch wenn die Apps nicht mehr zum Herunterladen zur Verfügung stehen, sind Nutzer, die die Apps bereits installiert haben, weiterhin mit Malware infiziert, sofern sie sie nicht manuell deinstalliert haben.

Allein die App „Bluetooth Auto Connect“ wurde mehr als eine Million Mal heruntergeladen und vor zwei Jahren auf Google Play hochgeladen. Den Forschern zufolge zeigen die Apps zumindest einige Tage nach der Erstinstallation keine bösartigen Absichten. Und die Malware bombardiert die Opfer nicht nur sofort nach Beginn der Aktivität mit Pop-ups und bösartigen Links. Nachdem das erste Popup-Fenster angezeigt wurde, wird die Malware angewiesen, zwei Stunden zu warten, bevor sie die nächste Anzeige einblendet.

Nach dieser anfänglichen Verzögerung öffnet die App wiederholt Registerkarten in Google Chrome, um Werbelinks anzuzeigen, mit denen versucht wird, Klicks zu generieren, um Einnahmen zu erzielen. Das Opfer muss sein Telefon nicht einmal aktiv benutzen, damit die Pop-ups erscheinen – die Links können im Hintergrund geöffnet werden. Diese aufdringliche Aktivität hat dazu geführt, dass Malwarebytes die Malware als Trojaner-Malware und nicht als Adware eingestuft hat.

„Die Aggressivität der Pop-ups – ich habe einmal mein Testtelefon nach nur ein paar Stunden mit fünfzehn offenen Tabs in Chrome geöffnet – und die starke Verschleierung haben uns dazu veranlasst, sie als trojanische Malware einzustufen“, sagte Nathan Collier, Malware Intelligence Analyst bei Malwarebytes, gegenüber ZDNET und warnte, dass die Malware in Zukunft noch gefährlicher werden könnte: „Wir glauben, dass die Phishing-Seiten mit der Zeit auch auf Seiten führen werden, die zur Eingabe persönlicher Daten auffordern.“

Den Forschern zufolge ist dies nicht einmal das erste Mal, dass Bluetooth Auto Connect oder die anderen mit dem Entwickler verbundenen Apps bösartige Aktivitäten aufweisen. Aber einige der Updates, die in den zwei Jahren seit der ersten Veröffentlichung der App vorgenommen wurden, haben sie für eine gewisse Zeit „sauber“ gemacht.

„Es scheint, dass sie nach dem Hochladen von sauberen Versionen weiterarbeiten durften. Diese neueste Version verwendet eine starke Verschleierung, um der Erkennung zu entgehen“, so Collier. Nutzern, die die App heruntergeladen haben, wird empfohlen, sie zu deinstallieren, um Malware von ihrem Android-Gerät zu entfernen. Auch wenn Google Play der sicherste Ort zum Herunterladen von Android-Apps ist, sollten sie darauf achten, was sie herunterladen.