Schadsoftware auf Google Play – mehr als 600 Millionen Downloads im Jahr 2023

Wir werfen einen Blick auf einige aktuelle Fälle, bei denen Google Play – der „offiziellste“ Android-App-Store – durch Schadsoftware infiltriert wurde.

Die Installation von Apps über Google Play wird allgemein für sicher gehalten. Schließlich ist es der offiziellste aller offiziellen Android-Stores, und alle angebotenen Apps werden von Google-Moderatoren gründlich geprüft. Oder etwa nicht?

Bei Google Play gibt es jedoch mehr als drei Millionen verschiedene Apps, von denen die meisten regelmäßig aktualisiert werden. Und selbst einer der weltgrößten Konzerne hat zu wenig Ressourcen, um alle diese Apps wirklich gründlich zu checken.

Die Schöpfer bösartiger Apps wissen dies ganz genau und haben eine Reihe von Methoden entwickelt, um ihre Werke auf Google Play einzuschmuggeln. Wir sehen uns hier die Fälle an, die 2023 die fettesten Schlagzeilen gemacht haben, wenn es um bösartige Apps im offiziellen Android-Store ging. Schädliche Apps erreichten dort insgesamt mehr als 600 Millionen Downloads – ein stolzes Ergebnis. Kommen wir zur Sache!

50.000 Downloads: iRecorder – infizierte App belauscht Nutzer

Beginnen wir mit iRecorder, einem eher unbedeutenden, aber recht interessanten und sehr anschaulichen Fall. Diese unscheinbare Android-App für Bildschirmaufzeichnungen wurde im September 2021 bei Google Play hochgeladen.

Im August 2022 fügten die Entwickler jedoch den Code des Fernzugriffs-Trojaners AhMyth hinzu. Durch die bösartige Funktion wurden auf allen Smartphones, auf denen die App installiert war, im Abstand von 15 Minuten der Ton des Mikrofons aufgezeichnet und an den Server des App-Erstellers gesendet. Als die Forscher diese Malware im Mai 2023 entdeckten, hatte iRecorder bereits mehr als 50.000 Downloads.

Hier sehen wir einen der Wege, über die sich bösartige Apps in Google Play einschleichen. Cyberkriminelle laden zunächst eine harmlose App in den Store hoch, die problemlos alle Sicherheitsprüfungen besteht. Nachdem die App dann ein Publikum aufgebaut und einen gewissen Ruf erreicht hat (was Monate oder sogar Jahre dauern kann), wird ein Update auf Google Play hochgeladen, das bösartige Funktionen enthält.

620.000 Downloads: Fleckpe – Trojaner mit Abo-Funktion

Ebenfalls im Mai 2023 fanden unsere Experten mehrere Apps bei Google Play, die mit dem Abo-Trojaner Fleckpe infiziert waren. Zu diesem Zeitpunkt hatten diese Apps bereits 620.000 Installationen verbucht. Interessanterweise wurden die Apps von verschiedenen Entwicklern hochgeladen. Das ist eine weitere gängige Taktik: Cyberkriminelle erstellen im Store zahlreiche Entwicklerkonten. Werden einige Konten von den Moderatoren gesperrt, können sie über ein anderes Konto eine ähnliche App hochladen.

Google Play: mit dem Abo-Trojaner Fleckpe infizierte Apps

Google Play: mit dem Abo-Trojaner Fleckpe infizierte Apps

 

Beim Start der infizierten App wurde der eigentlich bösartige Teil auf das Smartphone des Opfers heruntergeladen. Dann verband sich der Trojaner mit dem Steuerungsserver und übermittelte Informationen über das Land und den Mobilfunknetzbetreiber. Basierend auf diesen Informationen gab der Server Anweisungen zum weiteren Vorgehen. Dann öffnete Fleckpe Webseiten für kostenpflichtige Abos in einem unsichtbaren Browserfenster und abonnierte im Namen des Nutzers unnötige Dienste. Bestätigungscodes wurden aus eingehenden Benachrichtigungen abgefangen. Bezahlt wurde über das Konto beim Mobilfunkanbieter.

1,5 Millionen Downloads: chinesische Spyware

Im Juli 2023 wurden auf Google Play zwei Dateimanager gefunden – einer mit einer Million Downloads, der andere mit einer halben Million. Zwar versicherten die Entwickler, dass die Apps keine Daten sammeln würden. Die Forscher fanden jedoch heraus, dass beide Apps jede Menge Benutzerinformationen an Server in China übermittelten, darunter Kontakte, Echtzeit-Standortdaten, Angaben zum Smartphone-Modell und Mobilfunknetz, Fotos, Audio, Videos und mehr.

Google Play: mit Spyware infizierte Dateimanager

Google Play: Dateimanager mit chinesischer Spyware. Quelle

 

Damit Nutzer nicht auf die Idee kamen, die infizierten Apps zu deinstallieren, waren ihre Desktop-Symbole ausgeblendet – auch diese Taktik wird gerne von den Entwicklern mobiler Malware genutzt.

2,5 Millionen Downloads: Adware im Hintergrund

Im August 2023 gab es einen weiteren Malware-Fund bei Google Play. Diesmal ging es um 43 Apps, darunter TV/DMB-Player, Musik-Downloader, News- und Kalender-Apps, die heimlich Anzeigen luden, während der Bildschirm ausgeschaltet war.

Apps bei Google Play zeigten versteckte Werbung an

Einige der Apps mit versteckter Adware. Quelle

 

Die Nutzer wurden aufgefordert, die Apps zu den Energiespar-Ausnahmen hinzuzufügen, und konnten dadurch ihre Arbeit ungestört im Hintergrund erledigen. Natürlich führte dies auf den betroffenen Smartphones zu einer verkürzten Akkulaufzeit. Diese Apps wurden insgesamt 2,5 Millionen Mal heruntergeladen. Die wichtigste Zielgruppe waren koreanische Nutzer.

20 Millionen Downloads: betrügerische Apps versprechen Belohnungen

Eine Anfang 2023 veröffentlichte Studie untersuchte mehrere zwielichtige Apps bei Google Play, die über 20 Millionen Downloads aufwiesen. Sie positionierten sich in erster Linie als Fitness-Tracker und versprachen Geldprämien für sportliche Aktivitäten, betrachtete Werbung oder die Installation anderer Apps.

Google Play: betrügerische Apps, die Geld für Aktivitäten und Werbung versprechen

Google Play: Apps, die Belohnungen für sportliche Aktivitäten und Werbung versprechen. Quelle

 

Um genau zu sein: Der Nutzer konnte für diese Aktivitäten Punkte sammeln und diese dann angeblich in echtes Geld umwandeln. Es gab nur ein Problem – um eine Belohnung zu erhalten, waren derart viele Punkte notwendig, dass das Ziel praktisch unerreichbar war.

35 Millionen Downloads: Minecraft-Klone mit versteckter Adware

Natürlich gab bei Google Play in diesem Jahr auch bösartige Spiele. Der Hauptschuldige war dabei (übrigens nicht zum ersten Mal) Minecraft – nach wie vor eines der beliebtesten Games der Welt. Im April 2023 wurden im offiziellen Android-Store 38 Minecraft-Klone mit satten 35 Millionen Downloads gefunden. In diesen Apps war Adware mit dem sehr passenden Namen HiddenAds versteckt.

Google Play: mit Adware infizierter Minecraft-Klon

Block Box Master Diamond – der beliebteste Minecraft-Klon, der mit HiddenAds infiziert war. Quelle

 

Wenn die infizierten Apps gestartet wurden, „zeigten“ sie versteckte Werbung an, ohne dass der Nutzer etwas davon bemerkte. Obwohl dies eigentlich keine ernsthafte Bedrohung darstellte, konnte sich ein solches Verhalten auf die Geräteleistung und Akkulaufzeit auswirken.

Und dazu hin hatten die Entwickler die Möglichkeit, neue Versionen der infizierten Apps mit einem aggressiveren Monetarisierungsschema zu versehen. Auch dies gehört zum standardmäßigen Vorgehen bei schädlichen Android-Apps: Die Entwickler wechseln ganz einfach zwischen verschiedenen Arten von bösartigen Aktivitäten, je nachdem, was gerade profitabel ist.

100 Millionen Downloads: Datensammlung und Klickbetrug

Ebenfalls im April 2023 wurden bei Google Play 60 weitere Apps gefunden – auch sie waren mit Adware infiziert und wurden von den Forschern Goldoson getauft. Diese Apps wurden bei Google Play insgesamt mehr als 100 Millionen Mal heruntergeladen und erreichten weitere acht Millionen Downloads im beliebten koreanischen Store ONE.

Auch diese Malware beschäftige sich mit der „Anzeige“ verborgener Werbung. Dazu wurden im Hintergrund innerhalb der App Webseiten geöffnet. Darüber hinaus sammelten die bösartigen Apps Benutzerdaten – darunter Informationen über installierte Apps, Standortdaten sowie Adressen von Geräten, die via WLAN und Bluetooth mit dem Smartphone verbunden waren.

Wie war Goldoson in all diese Apps geraten? Offenbar hatten viele redliche Entwickler eine infizierte Bibliothek verwendet, ohne etwas von den darin enthaltenen bösartigen Funktionen zu ahnen. Und das ist leider keine Seltenheit: Oft entwickeln und veröffentlichen die Malware-Schöpfer ihre Apps gar nicht selbst bei Google Play, sondern stellen infizierte Bibliotheken bereit, die dann zusammen mit den Apps anderer Entwickler im Store landen.

451 Millionen Downloads: Minispiel-Werbung und Datensammlung

Zum Schluss noch der größte Coup dieses Jahres: Im Mai 2023 fand ein Forscherteam bei Google Play sage und schreibe 101 unzulässige Apps mit sagenhaften 421 Millionen Downloads. In allen diesen Apps lauerte eine SpinOk-Codebibliothek.

Kurz darauf entdeckten andere Forscher auf Google Play 92 weitere Apps mit der gleichen SpinOk-Bibliothek. Die Downloads waren mit 30 Millionen etwas bescheidener. Insgesamt wurden beinahe 200 Apps mit SpinOK-Code gefunden – mit summa summarum 451 Millionen Downloads bei Google Play.Auch in diesem Fall wurde gefährlicher Code aus einer Drittanbieter-Bibliothek in die Apps eingeschleust.

Von SpinOk beworbene Minispiele

Minispiele, die „Belohnungen“ versprachen und den Nutzern Apps mit SpinOk-Code anzeigten Quelle

 

Oberflächlich betrachtet zeigten die Apps nervige Minispiele an, die Geldprämien versprachen. Doch eigentlich ging es um etwas anderes: Die SpinOK-Bibliothek konnte im Hintergrund Benutzerdaten und Dateien sammeln und diese an den Steuerungsserver der Angreifer senden.

So schützen Sie sich vor Malware bei Google Play

Natürlich waren das längst nicht alle Fälle aus dem Jahr 2023, in denen bösartige Apps auf Google Play gelangten. Wir haben nur die interessantesten Fälle mit den meisten Downloads herausgepickt. Die wichtigste Erkenntnis aus diesem Artikel ist: Malware ist bei Google Play weitaus häufiger anzutreffen, als man eigentlich denkt – infizierte Apps erreichten insgesamt mehr als eine halbe Milliarde Downloads!

Trotzdem bleiben offizielle Stores mit Abstand die sicherste Quelle. Der Download aus anderen Quellen ist wesentlich gefährlicher, weshalb wir auch dringend davon abraten. Aber auch in offiziellen Stores ist Vorsicht geboten:

  • Wenn Sie eine neue App herunterladen, sehen Sie sich jedes Mal sorgfältig die App-Seite im Store an und überprüfen Sie, ob es die echte App ist. Achten Sie ganz besonders auf den Namen des Entwicklers. Häufig klonen Cyberkriminelle beliebte Apps und platzieren sie unter ähnlichen Namen, mit ähnlichen Symbolen und Beschreibungen bei Google Play, um Nutzer anzulocken.
  • Verlassen Sie sich nicht auf die Gesamtbewertung der App, da diese leicht manipuliert werden kann. Auch begeisterte Rezensionen lassen sich relativ einfach fälschen. Achten Sie stattdessen auf negative Rezensionen mit niedrigen Bewertungen – dort werden normalerweise die echten Probleme einer App beschrieben.
  • Installieren Sie auf allen Ihren Android-Geräten einen zuverlässiger Schutz, der Sie rechtzeitig vor Trojanern warnt, die sich auf Ihr Smartphone oder Tablet einschleichen wollen.
  • Wenn Sie die kostenlose Version unserer App Kaspersky Internet Security for Android nutzen, vergessen Sie nicht, Ihr Gerät von Zeit zu Zeit manuell zu untersuchen. Führen Sie zudem unbedingt eine Virenuntersuchung durch, nachdem Sie neue Apps installiert haben und bevor Sie diese starten.
  • In unserer kostenpflichtigen Schutzversion, die übrigens im Abonnement von Kaspersky Standard, Kaspersky Plus und Kaspersky Premium enthalten ist, erfolgt die Untersuchung automatisch. Dadurch sind sie zuverlässig vor infizierten Apps geschützt.
Tipps
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder