- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Adware im Google Play Store


Aggressive Werbung in Lifestyle-Apps mit über 30 Millionen Installationen
Nach der Installation scheinen die meisten der Apps mit der ersten Version normal zu funktionieren



Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen.

Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

Die Ursprünge
Mit apklab.io fand Avast zwei Versionen von TsSdk, die den gleichen Code teilen. Namensgebend ist der Begriff TsSdk, der in der ersten Version der Adware gefunden wurde. Diese wurde 3,6 Millionen Mal installiert und ist in einfachen Spiel-, Fitness- und Fotobearbeitungsanwendungen enthalten. Die betroffenen Apps sind besonders in Indien, Indonesien, den Philippinen, Pakistan, Bangladesch und Nepal beliebt.

Nach der Installation scheinen die meisten der Apps mit der ersten Version normal zu funktionieren. Allerdings erscheinen darüber hinaus Werbeanzeigen im Vollbild, sobald der Bildschirm aktiviert wird. Gelegentlich tauchen die Anzeigen sogar regelmäßig während der Benutzung auf. In einigen Fällen haben die Apps sogar die Möglichkeit, weitere Anwendungen herunterzuladen. Der Nutzer wird dann aufgefordert, diese zu installieren. Zusätzlich legen die meisten älteren Varianten auch eine Verknüpfung zu einem "Game Center" auf dem Startbildschirm des infizierten Geräts an.

Dieser Link öffnet die Seite von H5 Games, die für verschiedene Spiele wirbt. Der Name "H5GameCenter" ist bereits von der vorinstallierten Malware von Cosiloon bekannt, über die Avast im vergangenen Jahr berichtet hat. Die Forscher können allerdings nicht mit Sicherheit feststellen, ob die beiden miteinander verwandt sind.

Die Aktualisierung des Adware-Codes
Die zweite Version wurde fast 28 Millionen Mal installiert. Darunter fallen besonders Musik- und Fitness-Apps, die oft auf den Philippinen, in Indien, Indonesien, Malaysia, Brasilien und Großbritannien genutzt werden. Der Code wurde mit dem Tencent Packer verschlüsselt, der für Analysten nur schwer zu entpacken ist. Die dynamischen Analysen von apklab.io können ihn aber leicht erfassen.

Bevor die Vollbildanzeige eingesetzt wird, prüft die aktuelle Version mehrere Parameter. Beispielsweise wird die Werbung nur ausgelöst, wenn der Nutzer die App durch Anklicken einer Facebook-Anzeige installiert. Bei der Erkennung hilft eine Facebook-SDK-Funktion namens deferred deep linking.

Die Anzeigen erscheinen innerhalb der ersten vier Stunden nach der Installation konzentriert – danach immer seltener. Aus dem Code wissen die Analysten, dass innerhalb der ersten vier Stunden die Vollbildeinblendungen teils beim Entsperren des Telefons oder alle 15 Minuten angezeigt werden. Nach einer Stunde steigt der Abstand zwischen der unerwünschten Werbung auf 30 Minuten.

Die neuere Version der Adware scheint nicht mit Android 8.0 oder höher zu funktionieren. Der Grund dafür sind Änderungen in der Verwaltung der Hintergrunddienste. Aufgrund der Anzahl der Samples hat Avast nur die neueste Installationsdatei jeder App in seiner Übersicht berücksichtigt.

Viele der älteren Versionen der Adware hat Google bereits aus dem Google Play Store entfernt. Darunter war Pro Piczoo, eine App mit mehr als einer Million Installationen.

Drei Tipps gegen Adware
>> Bewertungen lesen.
Vor der Installation einer neuen App sollten sowohl positive als auch negative Reviews geprüft werden. Dabei zählen Hinweise auf das Verhalten der App. Kommentare wie "diese App macht nicht, was sie verspricht" oder "diese App ist vollgepackt mit Adware" weisen darauf hin, dass vielleicht etwas nicht stimmt.

>> Berechtigungen prüfen. Wenn eine App Berechtigungen anfordert, sollten diese hinterfragt werden. Die Erteilung falscher Berechtigungen kann dazu führen, dass sensible Daten wie Kontakte, Mediendateien und persönliche Chats an Cyberkriminelle gesendet werden. Wenn eine Anfrage ungewöhnlich erscheint oder über das Angemessene hinausgeht, sollte die App vermieden werden.

>> Antivirenschutz installieren. Eine vertrauenswürdige Antivirenlösung sollte auch auf Smartphones eingesetzt werden. Sicherheits-Apps schützen den Benutzer vor unerwünschten Apps und identifizieren Adware bevor sie aktiv werden können.
(Avast: ra)

eingetragen: 07.05.19
Newsletterlauf: 24.05.19

Avast Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Zunahme von Angriffen mit JavaScript-Skimmern

    Im Jahr 2020 könnten es - laut Vorhersagen von Kaspersky - finanziell motivierte Cyberkriminelle vermehrt auf Apps zur Geldanlage, Systeme zur Verarbeitung von Finanzdaten online und aufstrebende Krypto-Währungen abgesehen haben. Zudem werden sich voraussichtlich der Handel mit Zugängen zur Infrastruktur von Banken und die Entwicklung neuer Varianten mobiler Malware basierend auf Sourcecode-Leaks etablieren. Neben den Bedrohungen im Finanzbereich hat Kaspersky im Rahmen ihres "Security Bulletins 2019/2020" auch mögliche Gefahren für andere Branchen prognostiziert.

  • Prognosen zur Anwendungssicherheit für 2020

    Veracode veröffentlichte vor kurzem die zehnte Ausgabe ihres jährlich erscheinenden "State of the Software Security" (SoSS)-Reports. In diesem beschreibt die Anwendungssicherheitsspezialistin, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat und stellt eine Bilanz zum aktuellen Ist-Stand auf. Doch welche Trends zeichnen sich für die kommenden Jahre ab und auf welche Weise sollten Unternehmen auf die Veränderungen reagieren? Codes, auf denen Software und Applikationen aufbauen, werden stetig umgeschrieben oder erweitert, da Unternehmen ihre Angebote an die Bedürfnisse ihrer Kunden anpassen müssen. Jede neue Veränderung bedeutet aber auch, dass die Applikationen dadurch angreifbar werden. Somit steigt das Risiko, dass sich Fehler und Bugs einschleichen und damit die Sicherheit der jeweiligen Anwendung - oder sogar des Unternehmens - gefährden.

  • So (un)sicher wird 2020 für industrielle Netzwerke

    Die Bedrohungslage für OT-Systeme, kritische Infrastrukturen und industrielle Steuerungsanlagen wird sich auch 2020 im Vergleich zu 2019 kontinuierlich weiterentwickeln. Da diese Systeme dem öffentlichen Internet immer stärker ausgesetzt sind, wird es für Hacker immer einfacher, sie anzugreifen. Dies gilt nicht nur für staatlich unterstützte bzw. beauftragte Angreifer, sondern auch für Cyberkriminelle, die in erster Linie finanziell motiviert handeln. Es ist zu befürchten, dass gerade staatlich gesteuerte Angreifer ihre Ziele genauer auswählen und ihre Spuren besser verwischen werden. Die Fälle, von denen in den Medien berichtet wird, dürften nur die Spitze des Eisberges darstellen. Aufgrund der kleinen Stichprobe (2019 gab es lediglich 12 hochkarätige Angriffe weltweit) ist es unmöglich, ein genaues Bild über die tatsächliche Bedrohungslage zu erhalten.

  • Cyberangriff auf wichtige Pfeiler der Gesellschaft

    Am Ende jedes Jahres setzen wir bei Forescout uns zusammen und erörtern, welche Trends sich unserer Meinung nach in den nächsten zwölf Monaten beschleunigen und welche neu entstehen werden. Als wir dieses Jahr mehr als 50 Prognosen auf letztendlich sechs eingrenzten, fiel uns einmal mehr auf, wie schnell sich der Cybersicherheitssektor doch verändert. Die Bedrohungen und Angreifer werden immer raffinierter und richten weiter verheerende Schäden in Unternehmen aller Größen und Branchen an, und eine Trendwende ist nicht in Sicht. Für Unternehmen bedeutet dies, dass sie strategischer denn je vorgehen müssen, wenn sie ihren Sicherheitsstatus verbessern wollen. Es bedeutet auch, dass sie sich mit vielversprechenden neuen Technologien auseinandersetzen müssen - einige davon erwähnen wir im Folgenden -, noch bevor diese sich allgemein etabliert haben. Dies umfasst sowohl die Einführung neuer Technologien als auch den Schutz neuer Geräte. Und schließlich bedeutet es, einige der Auswirkungen zu bedenken, die ein Cyberangriff auf wichtige Pfeiler unserer Gesellschaft haben könnte.

  • Cyberbedrohungen und Trends für 2020

    Von Passwort-Katastrophen bis hin zum verstärkten Krypto-Mining von Monero: Welche Cyberbedrohungen werden im Jahr 2020 auf uns zukommen? Instabilität der Darknet-Märkte: Die englischsprachigen Darknet-Märkte haben ein schwieriges Jahr hinter sich mit zahlreichen Takedowns, Exit-Scams, Verhaftungen, ungewöhnlichen Aktivitäten, bei denen Märkte an- und ausgeschaltet wurden, sowie anhaltenden DDOS-Angriffen. Diese Instabilität hat den Ruf der Darknet-Märkte geschädigt, und das wird 2020 beträchtliche Paranoia bei Cyberkriminellen auslösen, die sich wahrscheinlich nur langsam beruhigen wird. Diese Unvorhersehbarkeiten haben vielleicht keine nennenswerten sichtbaren Auswirkungen auf Endbenutzer und Unternehmen, können jedoch dazu führen, dass Märkte anderswo entstehen und die Lieferketten von Cyberkriminellen insbesondere im englischsprachigen Raum sehr durcheinanderbringen.