Google Play Store: Bösartige Android-App hatte mehr als 100 Millionen Downloads

28 Aug 2019

Forscher von Kaspersky haben kürzlich Malware in einer App namens CamScanner entdeckt. Bei der Anwendung handelt es sich um einen PDF-Creator mit optischer Zeichenerkennung (OCR), der bereits mehr als 100 Millionen Mal aus dem Google Play Store heruntergeladen wurde. Verschiedene Ressourcen vertreiben die App unter leicht variierenden Namen, wie zum Beispiel CamScannerPhone PDF Creator und CamScannerScanner to scan PDFs.

Offizielle App Stores wie Google Play gelten normalerweise als „sicherer Hafen“, wenn es um den Download von Software geht. Leider ist eine 100%ige Sicherheit nie garantiert und von Zeit zu Zeit gelingt es Malware-Anbietern, ihre Apps in den Google Play Store zu schleusen.

Das Problem ist, dass selbst ein so mächtiges Unternehmen wie Google Millionen von Apps nicht sorgfältig prüfen kann. Ein Großteil aller Apps wird regelmäßig aktualisiert, sodass die Arbeit der Google-Play-Moderatoren nie ein Ende nimmt.

CamScanner war lange Zeit tatsächlich eine legitime App ohne böswillige Absichten. Sie nutzte Werbe-Ads zur Monetarisierung und ermöglichte sogar In-App-Käufe. Irgendwann änderte sich dies jedoch, und die neuesten Versionen der App wurden mit einer Ad-Bibliothek geliefert, die ein bösartiges Modul enthält.

Kaspersky-Produkte erkennen dieses Modul als Trojan-Dropper.AndroidOS.Necro.n. Entdecken konnten wir dieses in einigen auf chinesischen Smartphones vorinstallierten Apps. Wie der Name bereits verrät, handelt es sich bei dem Modul um einen sogenannten Trojan-Dropper. Das bedeutet, dass das Modul ein anderes bösartiges Modul aus einer verschlüsselten Datei extrahiert und ausführt, die in den Ressourcen der App enthalten ist. Diese Malware ist wiederum ein Trojan-Downloader, der dann zum Download weiterer schädlicher Module führt.

Beispielsweise kann eine App mit diesem Schadcode lästige Anzeigen schalten und Benutzer für kostenpflichtige Abonnements anmelden.

Einige Benutzer der CamScanner-App haben das verdächtige Verhalten der App bereits festgestellt und dementsprechende Bewertungen bzw. Warnungen im Google Play Store hinterlassen.

Kaspersky-Forscher haben eine aktuelle Version der App untersucht und das besagte Schadmodul vorgefunden. Die Ergebnisse haben wir Google selbstverständlich gemeldet; die App wurde daraufhin umgehend aus dem Google Play Store entfernt.

Offenbar haben die App-Entwickler den Schadcode mit dem neuesten Update von Cam-Scanner beseitigt. Beachten Sie jedoch, dass die Versionen der App für verschiedene Geräte unterschiedlich sind und einige von ihnen möglicherweise noch Schadcode enthalten.

Und die Moral von der Geschicht‘? Jede App – egal, ob diese aus einem offiziellen Store stammt und bereits Millionen treue Anhänger hat – kann über Nacht zu Malware mutieren. Jede App ist nur ein Update von einer bedeutenden „Neuerung“ entfernt. Verwenden Sie deshalb eine zuverlässige AV-Lösung für Android-Apps [KISA-Platzhalter] und scannen Sie Ihr Smartphone von Zeit zu Zeit, um sicherzustellen, dass Sie nie in derartige Schwierigkeiten geraten. (Die kostenpflichtige Version von Kaspersky Internet Security for Android scannt Ihr Gerät übrigens automatisch.)