- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Adware im Google Play Store


Aggressive Werbung in Lifestyle-Apps mit über 30 Millionen Installationen
Nach der Installation scheinen die meisten der Apps mit der ersten Version normal zu funktionieren

- Anzeigen -





Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen.

Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

Die Ursprünge
Mit apklab.io fand Avast zwei Versionen von TsSdk, die den gleichen Code teilen. Namensgebend ist der Begriff TsSdk, der in der ersten Version der Adware gefunden wurde. Diese wurde 3,6 Millionen Mal installiert und ist in einfachen Spiel-, Fitness- und Fotobearbeitungsanwendungen enthalten. Die betroffenen Apps sind besonders in Indien, Indonesien, den Philippinen, Pakistan, Bangladesch und Nepal beliebt.

Nach der Installation scheinen die meisten der Apps mit der ersten Version normal zu funktionieren. Allerdings erscheinen darüber hinaus Werbeanzeigen im Vollbild, sobald der Bildschirm aktiviert wird. Gelegentlich tauchen die Anzeigen sogar regelmäßig während der Benutzung auf. In einigen Fällen haben die Apps sogar die Möglichkeit, weitere Anwendungen herunterzuladen. Der Nutzer wird dann aufgefordert, diese zu installieren. Zusätzlich legen die meisten älteren Varianten auch eine Verknüpfung zu einem "Game Center" auf dem Startbildschirm des infizierten Geräts an.

Dieser Link öffnet die Seite von H5 Games, die für verschiedene Spiele wirbt. Der Name "H5GameCenter" ist bereits von der vorinstallierten Malware von Cosiloon bekannt, über die Avast im vergangenen Jahr berichtet hat. Die Forscher können allerdings nicht mit Sicherheit feststellen, ob die beiden miteinander verwandt sind.

Die Aktualisierung des Adware-Codes
Die zweite Version wurde fast 28 Millionen Mal installiert. Darunter fallen besonders Musik- und Fitness-Apps, die oft auf den Philippinen, in Indien, Indonesien, Malaysia, Brasilien und Großbritannien genutzt werden. Der Code wurde mit dem Tencent Packer verschlüsselt, der für Analysten nur schwer zu entpacken ist. Die dynamischen Analysen von apklab.io können ihn aber leicht erfassen.

Bevor die Vollbildanzeige eingesetzt wird, prüft die aktuelle Version mehrere Parameter. Beispielsweise wird die Werbung nur ausgelöst, wenn der Nutzer die App durch Anklicken einer Facebook-Anzeige installiert. Bei der Erkennung hilft eine Facebook-SDK-Funktion namens deferred deep linking.

Die Anzeigen erscheinen innerhalb der ersten vier Stunden nach der Installation konzentriert – danach immer seltener. Aus dem Code wissen die Analysten, dass innerhalb der ersten vier Stunden die Vollbildeinblendungen teils beim Entsperren des Telefons oder alle 15 Minuten angezeigt werden. Nach einer Stunde steigt der Abstand zwischen der unerwünschten Werbung auf 30 Minuten.

Die neuere Version der Adware scheint nicht mit Android 8.0 oder höher zu funktionieren. Der Grund dafür sind Änderungen in der Verwaltung der Hintergrunddienste. Aufgrund der Anzahl der Samples hat Avast nur die neueste Installationsdatei jeder App in seiner Übersicht berücksichtigt.

Viele der älteren Versionen der Adware hat Google bereits aus dem Google Play Store entfernt. Darunter war Pro Piczoo, eine App mit mehr als einer Million Installationen.

Drei Tipps gegen Adware
>> Bewertungen lesen.
Vor der Installation einer neuen App sollten sowohl positive als auch negative Reviews geprüft werden. Dabei zählen Hinweise auf das Verhalten der App. Kommentare wie "diese App macht nicht, was sie verspricht" oder "diese App ist vollgepackt mit Adware" weisen darauf hin, dass vielleicht etwas nicht stimmt.

>> Berechtigungen prüfen. Wenn eine App Berechtigungen anfordert, sollten diese hinterfragt werden. Die Erteilung falscher Berechtigungen kann dazu führen, dass sensible Daten wie Kontakte, Mediendateien und persönliche Chats an Cyberkriminelle gesendet werden. Wenn eine Anfrage ungewöhnlich erscheint oder über das Angemessene hinausgeht, sollte die App vermieden werden.

>> Antivirenschutz installieren. Eine vertrauenswürdige Antivirenlösung sollte auch auf Smartphones eingesetzt werden. Sicherheits-Apps schützen den Benutzer vor unerwünschten Apps und identifizieren Adware bevor sie aktiv werden können.
(Avast: ra)

eingetragen: 07.05.19
Newsletterlauf: 24.05.19

Avast Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Phishing weitaus risikoreicher als WiFi

    Ist die Nutzung von öffentlichem WIFI eine gute Idee? "Kommt drauf an", sagt Chester Wisniewski, Security-Experte bei Sophos. Verschlüsselung hat das WWW zwar sicherer gemacht, aber nicht gänzlich risikolos. Seine Einschätzung zur Sicherheitslage und To do's für die Nutzung von Hot Spots im untenstehenden Beitrag. Lange galt die Warnung, keine öffentlichen WiFi-Netzwerke zu nutzen; das Risiko gehackt zu werden war zu groß. Parallel dazu wurde WiFi immer flächendeckender und beliebter, in Regierungsgebäuden, Coffee-Shops, öffentlichen Verkehrsmitteln. Nahezu überall findet man Hot-Spots auf Kosten des Hauses. Gefahrlos nutzbar? "Die Mehrheit sensibler Daten wird nun via verschlüsselte Kanäle versendet", räumt Chester Wisniewski von Sophos, ein. "Die Risiken öffentlicher WiFis sind verblasst, seitdem Erwachsene in ihr Online-Leben starteten."

  • Spionage- & Sabotageangriffe gegen CNI

    Ein aktueller Bericht von F-Secure zeigt, dass Cyber-Kriminelle technisch sehr fortschrittlich und mit viel Geduld arbeiten. Das zeigen Gruppen wie etwa APT33 oder die BlackEnergy Group mit ihren Angriffen auf Öl-Firmen oder Stromversorger. Gleichzeitig nutzen Unternehmen veraltete Systeme und Technologien um Geld zu sparen. Eine schlechte Sicherheitslage, falsche Prioritätensetzung und Wahrnehmung sind auch Geschenke für Angreifer. Schädliche Akteure zielen exponentiell auf kritische Infrastrukturen (CNI) und Energieverteilungseinrichtungen ab. Vernetzte Systeme in der Energiebranche erhöhen die Anfälligkeit für Cyberangriffe, die auch oft für einige Zeit unentdeckt bleiben.

  • Adware im Google Play Store

    Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen. Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

  • Sicherheitsmängel in Industrieanlagen gravierend

    Eine verschlüsselte Datenübertragung per SSL/TLS ist ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens. Die Einbindung von SSL-Zertifikaten auf Webseiten dient dazu, dass Daten, die zwischen zwei Computern übertragen werden, verschlüsselt werden und somit vor dem Zugriff Unbefugter geschützt sind. "Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen. Benutzername und Passwort dürfen ausschließlich berechtigen Personen bekannt sein", mahnt Christian Heutger, Geschäftsführer der PSW Group.

  • Datenschutz vorzugsweise in verteilten Umgebungen

    Daten, Daten, Daten! Nur wohin damit, wenn es um deren Schutz geht? Die Cloud scheint bei europäischen Unternehmen kein adäquate Backup-Lösung zu sein. Sie vertrauen in der Mehrheit immer noch ganz traditionell auf Plattformanbieter wie Microsoft, um ihre Daten zu schützen. So offenbart es eine aktuelle Studie von Barracuda Networks, die die Antworten von 432 IT-Experten, Geschäftsführern und Backup-Administratoren als Befragungsgrundlage hat. Ziel war es, die Einstellung der EMEA-Organisationen zu Backup und Wiederherstellung zu untersuchen.