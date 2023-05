Cyberkriminelle bieten ein schädliches Software-SDK an. Es soll Entwicklern helfen, ihre Apps attraktiver zu machen. Das SDK sammelt jedoch Informationen über Geräte und lädt Dateien auf entfernte Server hoch.

Der Sicherheitsanbieter Doctor Web hat in mehreren Android-Apps, die im offiziellen Marktplatz Play Store angeboten werden, ein Softwaremodul mit Spyware-Funktionen entdeckt. Sie sammeln Informationen über Dateien und Geräte und können diese an einen entfernten Server übertragen. Den Forschern zufolge wurden die fraglichen 101 Apps insgesamt mehr als 421 Millionen Mal heruntergeladen.

Bei dem fraglichen Softwaremodul handelt es sich laut der Analyse von Doctor Web um ein Marketing SDK. Entwickler können das Software Development Kit (SDK) in alle Arten von Apps und Spielen einbauen. Die eigentliche Aufgabe des SpinOk genannten Moduls ist es, Nutzer zum Verbleib in einer App zu bewegen. Zu diesem Zweck werden Nutzern Mini-Games angeboten und Aufgaben gestellt, die mit angeblichen Preisen belohnt werden.

Marketing-SDK liefert Spyware-Funktionen

Beim ersten Start sammelt das Modul unter anderem umfangreiche Daten von Bewegungssensoren eines Geräts. Die Hintermänner können somit erkennen, ob ihre Apps in einem Emulator oder auf einem Gerät ausgeführt werden – und so einer Erkennung durch Sicherheitsforscher ausweichen. Im Gegenzug erhalten die fraglichen Apps eine Liste mit URLs, um Online-Anzeigen in WebView zu öffnen.

Die Spyware-Funktionen wiederum werden über erweiterte Funktionen für JavaScript-Code in den geladenen Websites umgesetzt; bereitgestellt werden die Funktionen durch das SDK. Die fraglichen Apps sind somit in der Lage, Dateilisten von bestimmten Verzeichnissen zu erstellen, bestimmte Dateien oder Ordner auf einem Gerät zu lokalisieren, Dateien zu einem Befehlsserver hochzuladen und Inhalte der Zwischenablage zu lesen und zu verändern.

Von den insgesamt 101 verseuchten Apps, die Doctor Web im Play Store fand, enthielten einige nur vorübergehend das schädliche SDK. Einige Apps wurden inzwischen vollständig aus dem Play Store entfernt. Andere wiederum sollen laut den Forschern weiterhin mit dem schädlichen SDK im Play Store erhältlich sein. Zu den Apps mit den meisten Downloads gehören der Video-Editor Noizz (mindestens 100 Millionen Installationen), die Datei-Sharing-App Zapya (mindestens 100 Millionen Installationen) sowie die Video-Editoren VFly, Buigo und MVBit mit jeweils mehr als 50 Millionen Installation. Eine vollständige Liste der betroffenen Apps hält Doctor Web auf GitHub bereit.