ANDROID WARNUNG: Die neu entdeckte Android-Adware hat über 8 Millionen Downloads

Der Play Store von Google war ständig im Feuer, weil Malware seinen Nutzern Schaden zufügen konnte. Millionen von Android-Nutzern wurden gewarnt, als Forscher von ESET eine neue Kampagne entdeckten, die Dutzende von Apps betraf.

Die Kampagne hat insgesamt 42 Apps betroffen, von denen 21 zum Zeitpunkt der Entdeckung noch aktiv und im Google Play Store verfügbar sind. Nach dem Bericht von ESET wurden jedoch alle betroffenen Apps aus dem Play Store entfernt.

Eine einjährige Kampagne im Play Store mit über 8 Millionen Downloads

Die Kampagne ist seit einem Jahr im Google Play Store aktiv und hat erstaunliche 8 Millionen Downloads verzeichnet. Einige dieser Apps sind jedoch möglicherweise noch in anderen Drittanbietern erhältlich. Im Folgenden sind einige der Apps aufgeführt, die von der Malware betroffen waren:

21 der 42 Apps, die laut ESET von der Malware betroffen waren21 der 42 Apps, die laut ESET von der Malware betroffen waren

Laut dem Bericht von ESET wurden die meisten der neu entdeckten Android-Adware in Spiele- und Utility-Apps getarnt. Diese Apps bieten zwar die versprochene Funktionalität, schleichen sich jedoch in aufdringliche Anzeigen ein. Die Adware wurde von ESET als Android / AdDisplay.Ashas klassifiziert.

Wie funktioniert die Android-Adware?

Adware ist eine Art von Malware, die Ihr Gerät verbirgt, damit Sie unerwünschte Werbung schalten können, einschließlich Betrugsanzeigen. Darüber hinaus können diese Adware-haltigen Apps Ihren Akku schneller als gewöhnlich entladen, den Netzwerkverkehr erhöhen und Ihre Daten ohne Ihr Wissen erfassen.

Wie funktioniert die Android-Adware?Wie funktioniert die Android-Adware?

Beim Start senden diese Apps Smartphone-Daten wie Gerätetyp, Betriebssystemversion, Anzahl der installierten Apps, Sprache, freien Speicherplatz und ob Ihr Gerät gerootet ist oder sich im Entwicklermodus befindet, an seinen C & C-Server. Überraschenderweise informierten die Apps den Server auch darüber, ob Facebook oder Messenger auf dem Gerät installiert waren.

Anschließend übermittelt der Server die Konfigurationsdaten, die für die Anzeige von Anzeigen vom Server erforderlich sind. Die betroffenen Apps zeigen anschließend Vollbildanzeigen über den anderen Apps. Abgesehen davon sendet der Server auch Konfigurationen für Stealth und Resilienz, was es für Benutzer noch schwieriger macht, die Adware zu erkennen. Laut ESET funktionieren alle 42 Apps gleich.

Apps haben irreführende Apps, die das Erkennen erschweren

Apps haben irreführende Apps, die das Erkennen erschwerenApps haben irreführende Apps, die das Erkennen erschweren

ESET stellte fest, dass diese Apps einige kreative Techniken verwendeten, um eine Erkennung zu vermeiden. Zunächst versucht die App festzustellen, ob sie vom Google Play-Sicherheitsmechanismus getestet wird. Wenn das Mobilteil in den Bereich bekannter IP-Adressen für den Google-Server fällt, erhält es von seinem Server das Flag “isGoogleIp”. Wenn dies der Fall ist, wird die Adware nicht ausgelöst.

Zweitens legt der Server eine benutzerdefinierte Verzögerung zwischen der Anzeige von zwei Anzeigen fest. Von ESET durchgeführte Tests zeigen, dass Apps 24 Minuten nach dem Entsperren des Geräts angezeigt werden. Auf diese Weise kann der Server das Testverfahren umgehen, das normalerweise nur etwa 10 Minuten dauert. ESET stellt fest, dass je länger die Verzögerung ist, desto größer ist die Wahrscheinlichkeit, dass die App das Verfahren umgeht.

Die Adware verwendet verschiedene kreative Techniken, um eine Erkennung zu vermeidenDie Adware verwendet verschiedene kreative Techniken, um eine Erkennung zu vermeiden

Schließlich basiert diese Technik auf der Serverantwort, die es der App ermöglichte, ihr Symbol auszublenden und stattdessen eine Verknüpfung zu erstellen. Wenn der Benutzer beispielsweise versucht, die App aus der Schublade zu deinstallieren, wird am Ende nur die Verknüpfung entfernt. Leider wurde die App nur im Hintergrund ausgeführt und zeigt immer noch diese aufdringlichen Vollbildanzeigen an.

Entwickler in Vietnam aufgespürt

Das ESET-Team hat den Entwickler dieser Android-Adware einem in Hanoi, Vietnam, lebenden Universitätsstudenten aufgespürt. Die Identität des Entwicklers wurde der Öffentlichkeit nicht bekannt gegeben, aber die Forscher stellten fest, dass er der Betreiber und Eigentümer der Kampagne des C & C-Servers ist.

Entwickler in Vietnam aufgespürtEntwickler in Vietnam aufgespürt

Die Absichten des Entwicklers waren anfangs nicht schlecht, nicht alle Apps enthielten die Adware in ihren ursprünglichen Versionen und sie waren wirklich saubere und legitime Apps. Schließlich wurden die Adware-Codes durch Updates in die Apps übertragen. Wahrscheinlich hat er versucht, die Werbeeinnahmen seiner Apps zu steigern, da einige seiner veröffentlichten Apps keine aufdringlichen Anzeigen enthalten.

Der Entwickler hat seine Identität überhaupt nicht geschützt, sodass er leicht aufgespürt werden konnte. Persönliche Informationen wie E-Mail-Adresse, Telefonnummer, Universitäts-ID, Facebook-Konto, YouTube-Kanal und viele andere wurden offengelegt, sodass ESET ihn leicht fand. Darüber hinaus hat der Entwickler auch Apps im App Store von Apple, jedoch enthält keine die Adware-Funktionalität.