- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Adware im Google Play Store


Aggressive Werbung in Lifestyle-Apps mit über 30 Millionen Installationen
Nach der Installation scheinen die meisten der Apps mit der ersten Version normal zu funktionieren

- Anzeigen -





Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen.

Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

Die Ursprünge
Mit apklab.io fand Avast zwei Versionen von TsSdk, die den gleichen Code teilen. Namensgebend ist der Begriff TsSdk, der in der ersten Version der Adware gefunden wurde. Diese wurde 3,6 Millionen Mal installiert und ist in einfachen Spiel-, Fitness- und Fotobearbeitungsanwendungen enthalten. Die betroffenen Apps sind besonders in Indien, Indonesien, den Philippinen, Pakistan, Bangladesch und Nepal beliebt.

Nach der Installation scheinen die meisten der Apps mit der ersten Version normal zu funktionieren. Allerdings erscheinen darüber hinaus Werbeanzeigen im Vollbild, sobald der Bildschirm aktiviert wird. Gelegentlich tauchen die Anzeigen sogar regelmäßig während der Benutzung auf. In einigen Fällen haben die Apps sogar die Möglichkeit, weitere Anwendungen herunterzuladen. Der Nutzer wird dann aufgefordert, diese zu installieren. Zusätzlich legen die meisten älteren Varianten auch eine Verknüpfung zu einem "Game Center" auf dem Startbildschirm des infizierten Geräts an.

Dieser Link öffnet die Seite von H5 Games, die für verschiedene Spiele wirbt. Der Name "H5GameCenter" ist bereits von der vorinstallierten Malware von Cosiloon bekannt, über die Avast im vergangenen Jahr berichtet hat. Die Forscher können allerdings nicht mit Sicherheit feststellen, ob die beiden miteinander verwandt sind.

Die Aktualisierung des Adware-Codes
Die zweite Version wurde fast 28 Millionen Mal installiert. Darunter fallen besonders Musik- und Fitness-Apps, die oft auf den Philippinen, in Indien, Indonesien, Malaysia, Brasilien und Großbritannien genutzt werden. Der Code wurde mit dem Tencent Packer verschlüsselt, der für Analysten nur schwer zu entpacken ist. Die dynamischen Analysen von apklab.io können ihn aber leicht erfassen.

Bevor die Vollbildanzeige eingesetzt wird, prüft die aktuelle Version mehrere Parameter. Beispielsweise wird die Werbung nur ausgelöst, wenn der Nutzer die App durch Anklicken einer Facebook-Anzeige installiert. Bei der Erkennung hilft eine Facebook-SDK-Funktion namens deferred deep linking.

Die Anzeigen erscheinen innerhalb der ersten vier Stunden nach der Installation konzentriert – danach immer seltener. Aus dem Code wissen die Analysten, dass innerhalb der ersten vier Stunden die Vollbildeinblendungen teils beim Entsperren des Telefons oder alle 15 Minuten angezeigt werden. Nach einer Stunde steigt der Abstand zwischen der unerwünschten Werbung auf 30 Minuten.

Die neuere Version der Adware scheint nicht mit Android 8.0 oder höher zu funktionieren. Der Grund dafür sind Änderungen in der Verwaltung der Hintergrunddienste. Aufgrund der Anzahl der Samples hat Avast nur die neueste Installationsdatei jeder App in seiner Übersicht berücksichtigt.

Viele der älteren Versionen der Adware hat Google bereits aus dem Google Play Store entfernt. Darunter war Pro Piczoo, eine App mit mehr als einer Million Installationen.

Drei Tipps gegen Adware
>> Bewertungen lesen.
Vor der Installation einer neuen App sollten sowohl positive als auch negative Reviews geprüft werden. Dabei zählen Hinweise auf das Verhalten der App. Kommentare wie "diese App macht nicht, was sie verspricht" oder "diese App ist vollgepackt mit Adware" weisen darauf hin, dass vielleicht etwas nicht stimmt.

>> Berechtigungen prüfen. Wenn eine App Berechtigungen anfordert, sollten diese hinterfragt werden. Die Erteilung falscher Berechtigungen kann dazu führen, dass sensible Daten wie Kontakte, Mediendateien und persönliche Chats an Cyberkriminelle gesendet werden. Wenn eine Anfrage ungewöhnlich erscheint oder über das Angemessene hinausgeht, sollte die App vermieden werden.

>> Antivirenschutz installieren. Eine vertrauenswürdige Antivirenlösung sollte auch auf Smartphones eingesetzt werden. Sicherheits-Apps schützen den Benutzer vor unerwünschten Apps und identifizieren Adware bevor sie aktiv werden können.
(Avast: ra)

eingetragen: 07.05.19
Newsletterlauf: 24.05.19

Avast Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • IT-Security 2019: die Zwischenbilanz

    Die erste Halbzeit ist vorbei: Wie lautet der Zwischenstand für das Jahr 2019 im Bereich IT-Sicherheit? Dies soll aus fünf Perspektiven betrachtet werden: Datenschutz-Verletzungen, Cloud Computing, Domain Name System (DNS), mobile Geräte und Bots. Durch Cyberangriffe, Ransomware und Datenschutz-Verletzungen wurden von Januar bis April 2019 etwa 5,9 Milliarden Datensätze offengelegt. Fast jeder Privatnutzer erhält inzwischen Erpressungs-Mails von Cyberkriminellen, weil sie im Besitz seines Passworts oder der E-Mail-Adresse seien. Ob Gesundheitswesen, Automobilbranche, öffentliche Hand, Einzelhandel oder IT-Sektor: Auch Unternehmen jeder Branche werden heute angegriffen.

  • Angreifer erhalten erhebliche Angriffsfläche

    Mit bis zu 6 Millionen betroffenen Bürgern war die Attacke der SamSam-Gruppe auf Atlanta im Jahr 2018 der wohl bisher folgenreichste Ransomware-Angriff auf eine einzelne Stadt. Auch andere Großstädte wie Cincinnati oder Baltimore waren bereits Opfer von Ransomware-Angriffen. Deutlich häufiger jedoch sind derartige Attacken laut Radware auf kleinere Gemeinden, Kreise oder Bezirke.

  • Cyber-Werkzeuge und Darknet-Marktplätze

    Die Cyberkriminellenszene wandelt sich stetig. Nicht nur die Angriffsmethoden werden cleverer, auch die Cyberkriminellen selbst verändern sich. Michael Veit, Security Evangelist aus Deutschland, Gabor Szappanos, Principal Malware Researcher der SophosLabs in Ungarn, Andrew Brandt, Principal Researcher der SophosLabs, USA, sowie Chester Wisniewski, Principal Research Scientist bei Sophos in Kanada, haben gemeinsam einen Blick auf die Entwicklungen in der Szene geworfen. Ihre wichtigsten Überzeugungen: Der Trend in der Cykerkriminalität geht zu Zusammenarbeit und Spezialisierung. Es gaunert sich dabei zunehmend professionell, es ist ein lukratives Geschäft und es ist (immer noch) einfach. Es gibt gut betuchte, gut ausgebildete Cyberkriminelle auf der einen, Hacker mit einfachen Schadwarebausätzen aus dem Darknet auf der anderen Seite. Die Branche setzt dabei stark auf Service - was man selbst nicht schafft, kauft man dazu. Dazu gehört auch das Fachwissen um menschliche Schwächen: Die Manipulation von Menschen ist den vier Experten zufolge eine ausgeprägte Angriffsstrategie der Cyberkriminalität. Auch zu deren Ursachen sind sich die IT-Security-Experten einig. In ihren Augen haben neben dem finanziellen Anreiz auch Armut und mangelnde Strafverfolgung einen bedeutenden Anteil am florierenden, illegalen Geschäft mit den Daten.

  • Wissen, das geschützt werden muss

    Mit der wachsenden Zahl immer ausgefeilterer Cyberattacken stellt sich nicht mehr die Frage, ob, sondern eher wann ein Unternehmen Opfer eines Angriffs wird. Viele Organisationen konzentrieren ihre Sicherheitsbemühungen immer noch auf Techniken zur Absicherung von Perimetern und investieren große Summen in den Versuch, Angreifer von ihren Netzwerken, Servern und Anwendungen fernzuhalten. Doch sollte der Sicherheitsfokus heutzutage auch auf den sensiblen Unternehmensdaten liegen und nicht nur auf den immer anfälligeren Schutzmauern, die sie umgeben - denn auf lukrative Daten haben es Angreifer zumeist abgesehen. Deshalb verlagern immer mehr Unternehmen ihre Security-Strategie hin zu einer optimierten Identifizierung, Kontrolle und Absicherung ihrer sensiblen Datenbestände.

  • Wachsendes Risiko der Cyberkriminalität

    Spionage, Datendiebstahl, Sabotage: Die deutsche Industrie leidet unter Cyberattacken. Deutschen Unternehmen ist in den Jahren 2016 und 2017 ein Schaden von 43 Milliarden Euro durch Datenspionage und Sabotage entstanden. Das bezifferte der Branchenverband Bitkom in seinem Report im letzten Jahr. Besonders kleine und mittlere Unternehmen waren nach Angaben der Bitkom von den Angriffen betroffen; die Zahl der Phishing-Attacken ist dabei stark gewachsen. Laut der Studie "Annual Cost of Cybercrime 2019" des Beratungshauses Accenture benötigen Unternehmen jedoch immer länger, um Angriffe zu erkennen und abzuwehren und verlieren dadurch mehr Geld. Demnach verändern sich die heutigen Cyberangriffe auf vielfältige Weise: von den Unternehmen, die im Visier der Kriminellen sind, über Angriffstechniken, bis hin zu den Arten von Schäden, die sie anrichten. Im letzten Jahr gab es laut der Studie durchschnittlich 145 Sicherheitsverletzungen, die in die Kernnetze der Unternehmenssysteme eingedrungen sind. Das sind elf Prozent mehr als im Vorjahr und 67 Prozent mehr als vor fünf Jahren. Und nicht nur die Zahl der Angriffe selbst steigen, sondern auch die Kosten. Der Studie zufolge belaufen sich diese im Schnitt auf ca. 13 Millionen Dollar pro Unternehmen. Das sind 1,4 Millionen Dollar Zusatzkosten gegenüber dem Jahr 2018.