Press "Enter" to skip to content

Das Problem der bösartigen Apps von Google Play infiziert 1,7 Millionen weitere Geräte.

Google Play, das offizielle Repository des Unternehmens für Android-Anwendungen, wurde erneut beim Hosten betrügerischer und potenziell bösartiger Anwendungen erwischt. Dabei wurden mehr als 56 Anwendungen – viele davon für Kinder – entdeckt, die auf fast 1,7 Millionen Geräten installiert waren.

Tekya ist eine Familie von Malware, die betrügerische Klicks auf Anzeigen und Banner generiert, die von Agenturen wie AdMob, AppLovin’, Facebook und Unity von Google bereitgestellt werden. Um den Klicks den Anschein von Authentizität zu verleihen, veranlasst der gut verfälschte Code infizierte Geräte dazu, den “MotionEvent”-Mechanismus von Android zu verwenden, um legitime Benutzeraktionen zu imitieren. Zu dem Zeitpunkt, als Forscher der Sicherheitsfirma Check Point sie entdeckten, wurden die Apps von VirusTotal und Google Play Protect nicht erkannt. Vierundzwanzig der Apps, die Tekya enthielten, wurden an Kinder vermarktet. Google entfernte alle 56 Apps, nachdem Check Point sie gemeldet hatte.

Die Entdeckung “unterstreicht einmal mehr, dass der Google Play Store immer noch bösartige Anwendungen beherbergen kann”, schrieben die Check Point-Forscher Israel Wernik, Danil Golubenko und Aviran Hazum in einem am Dienstag veröffentlichten Beitrag. “Es sind fast 3 Millionen Apps im Store erhältlich, wobei täglich Hunderte von neuen Apps hochgeladen werden, was es schwierig macht, die Sicherheit jeder einzelnen App zu überprüfen. Daher können sich die Nutzer nicht allein auf die Sicherheitsmaßnahmen von Google Play verlassen, um sicherzustellen, dass ihre Geräte geschützt sind.

Einheimische
Um das bösartige Verhalten schwerer zu erkennen, wurden die Anwendungen in nativem Android-Code geschrieben – typischerweise in den Programmiersprachen C und C++. Android-Apps verwenden normalerweise Java, um die Logik zu implementieren. Die Schnittstelle dieser Sprache bietet Entwicklern den einfachen Zugriff auf mehrere Abstraktionsebenen. Nativer Code hingegen wird auf einer viel niedrigeren Ebene implementiert. Während Java leicht dekompiliert werden kann – ein Prozess, der Binärdateien wieder in menschenlesbaren Quellcode umwandelt – ist dies mit nativem Code viel schwieriger.

Einmal installiert, registrieren die Tekya-Anwendungen einen Rundfunkempfänger, der mehrere Aktionen ausführt, darunter

BOOT_COMPLETED, um Code zu ermöglichen, der beim Starten des Geräts läuft (“kalter” Start)
USER_PRESENT, um zu erkennen, wann der Benutzer das Gerät aktiv benutzt
QUICKBOOT_POWERON, um den Code nach dem Neustart des Geräts laufen zu lassen
Der einzige Zweck des Empfängers besteht darin, die native Bibliothek ‘libtekya.so’ im Bibliotheksordner innerhalb der .apk-Datei jeder Anwendung zu laden. Der Check-Point-Post bietet viel mehr technische Details über die Funktionsweise des Codes. Google-Vertreter bestätigten, dass die Apps aus Play entfernt wurden.

Aber warten Sie . . . . es gibt noch mehr
Unabhängig davon berichtete der Antiviren-Anbieter Dr.Web am Dienstag über die Entdeckung einer nicht bekannt gegebenen Anzahl von Google Play-Anwendungen, die mehr als 700.000 Mal heruntergeladen wurden und Malware mit dem Namen Android.Circle.1 enthielten. Die Malware verwendete Code, der auf der Skriptsprache BeanShell basierte und sowohl Adware- als auch Klickbetrugsfunktionen kombinierte. Die Malware, die 18 Modifikationen hatte, konnte für Phishing-Angriffe verwendet werden.

Im Dr.Web-Post wurden nicht alle Apps genannt, die Android.Circle.1 enthielten. Die Handvoll der identifizierten Apps waren Wallpaper Black-Dark Background, Horoscope 2020-Zodiac Horoscope, Sweet Meet, Cartoon Camera und Bubble Shooter. Google entfernte alle Apps, die Dr.Web berichtete. Die 56 von Check Point entdeckten Apps befinden sich inzwischen im Check Point-Post vom Dienstag, der sich wiederum hier befindet.

Android-Geräte deinstallieren Apps oft, nachdem sie sich als bösartig erwiesen haben, aber der Mechanismus funktioniert nicht immer wie beabsichtigt. Die Leser sollten ihre Geräte überprüfen, um zu sehen, ob sie infiziert sind. Wie immer sollten die Leser bei den installierten Anwendungen sehr selektiv vorgehen. Zweifellos wird bei Google-Scans ein großer Prozentsatz der bei Play eingereichten bösartigen Anwendungen erkannt, aber eine beträchtliche Anzahl von Nutzern wird weiterhin mit Malware infiziert, die diese Prüfungen umgehen.