{"id":30663,"date":"2023-11-16T15:56:26","date_gmt":"2023-11-16T13:56:26","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30663"},"modified":"2023-11-16T17:02:58","modified_gmt":"2023-11-16T15:02:58","slug":"malware-in-google-play-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/malware-in-google-play-2023\/30663\/","title":{"rendered":"Schadsoftware auf Google Play \u2013 mehr als 600 Millionen Downloads im Jahr 2023"},"content":{"rendered":"

Die Installation von Apps \u00fcber Google Play wird allgemein f\u00fcr sicher gehalten. Schlie\u00dflich ist es der offiziellste aller offiziellen Android-Stores, und alle angebotenen Apps werden von Google-Moderatoren gr\u00fcndlich gepr\u00fcft. Oder etwa nicht?<\/p>\n

Bei Google Play gibt es jedoch mehr als drei Millionen verschiedene Apps<\/a>, von denen die meisten regelm\u00e4\u00dfig aktualisiert werden. Und selbst einer der weltgr\u00f6\u00dften Konzerne hat zu wenig Ressourcen, um alle diese Apps wirklich gr\u00fcndlich<\/em> zu checken.<\/p>\n

Die Sch\u00f6pfer b\u00f6sartiger Apps wissen dies ganz genau und haben eine Reihe von Methoden entwickelt, um ihre Werke auf Google Play einzuschmuggeln. Wir sehen uns hier die F\u00e4lle an, die 2023 die fettesten Schlagzeilen gemacht haben, wenn es um b\u00f6sartige Apps im offiziellen Android-Store ging. Sch\u00e4dliche Apps erreichten dort insgesamt mehr als 600 Millionen Downloads \u2013 ein stolzes Ergebnis. Kommen wir zur Sache!<\/p>\n

50.000 Downloads: iRecorder \u2013 infizierte App belauscht Nutzer<\/h2>\n

Beginnen wir mit iRecorder, einem eher unbedeutenden, aber recht interessanten und sehr anschaulichen Fall. Diese unscheinbare Android-App f\u00fcr Bildschirmaufzeichnungen wurde im September\u00a02021 bei Google Play hochgeladen.<\/p>\n

Im August 2022 f\u00fcgten die Entwickler jedoch den Code des Fernzugriffs-Trojaners AhMyth hinzu. Durch die b\u00f6sartige Funktion wurden auf allen Smartphones, auf denen die App installiert war, im Abstand von 15 Minuten der Ton des Mikrofons aufgezeichnet und an den Server des App-Erstellers gesendet. Als die Forscher diese Malware<\/a> im Mai 2023 entdeckten, hatte iRecorder bereits mehr als 50.000 Downloads.<\/p>\n

Hier sehen wir einen der Wege, \u00fcber die sich b\u00f6sartige Apps in Google Play einschleichen. Cyberkriminelle laden zun\u00e4chst eine harmlose App in den Store hoch, die problemlos alle Sicherheitspr\u00fcfungen besteht. Nachdem die App dann ein Publikum aufgebaut und einen gewissen Ruf erreicht hat (was Monate oder sogar Jahre dauern kann), wird ein Update auf Google Play hochgeladen, das b\u00f6sartige Funktionen enth\u00e4lt.<\/p>\n

620.000 Downloads: Fleckpe \u2013 Trojaner mit Abo-Funktion<\/h2>\n

Ebenfalls im Mai 2023 fanden unsere Experten mehrere Apps bei Google Play<\/a>, die mit dem Abo-Trojaner Fleckpe infiziert waren. Zu diesem Zeitpunkt hatten diese Apps bereits 620.000 Installationen verbucht. Interessanterweise wurden die Apps von verschiedenen Entwicklern hochgeladen. Das ist eine weitere g\u00e4ngige Taktik: Cyberkriminelle erstellen im Store zahlreiche Entwicklerkonten. Werden einige Konten von den Moderatoren gesperrt, k\u00f6nnen sie \u00fcber ein anderes Konto eine \u00e4hnliche App hochladen.<\/p>\n

\"Google<\/a>

Google Play: mit dem Abo-Trojaner Fleckpe infizierte Apps<\/p><\/div>\n

\u00a0<\/p>\n

Beim Start der infizierten App wurde der eigentlich b\u00f6sartige Teil auf das Smartphone des Opfers heruntergeladen. Dann verband sich der Trojaner mit dem Steuerungsserver und \u00fcbermittelte Informationen \u00fcber das Land und den Mobilfunknetzbetreiber. Basierend auf diesen Informationen gab der Server Anweisungen zum weiteren Vorgehen. Dann \u00f6ffnete Fleckpe Webseiten f\u00fcr kostenpflichtige Abos in einem unsichtbaren Browserfenster und abonnierte im Namen des Nutzers unn\u00f6tige Dienste. Best\u00e4tigungscodes wurden aus eingehenden Benachrichtigungen abgefangen. Bezahlt wurde \u00fcber das Konto beim Mobilfunkanbieter.<\/p>\n

1,5 Millionen Downloads: chinesische Spyware<\/h2>\n

Im Juli 2023 wurden auf Google Play zwei Dateimanager gefunden<\/a> \u2013 einer mit einer Million Downloads, der andere mit einer halben Million. Zwar versicherten die Entwickler, dass die Apps keine Daten sammeln w\u00fcrden. Die Forscher fanden jedoch heraus, dass beide Apps jede Menge Benutzerinformationen an Server in China \u00fcbermittelten, darunter Kontakte, Echtzeit-Standortdaten, Angaben zum Smartphone-Modell und Mobilfunknetz, Fotos, Audio, Videos und mehr.<\/p>\n

\"Google<\/a>

Google Play: Dateimanager mit chinesischer Spyware. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Damit Nutzer nicht auf die Idee kamen, die infizierten Apps zu deinstallieren, waren ihre Desktop-Symbole ausgeblendet \u2013 auch diese Taktik wird gerne von den Entwicklern mobiler Malware genutzt.<\/p>\n

2,5 Millionen Downloads: Adware im Hintergrund<\/h2>\n

Im August 2023 gab es einen weiteren Malware-Fund<\/a> bei Google Play. Diesmal ging es um 43 Apps, darunter TV\/DMB-Player, Musik-Downloader, News- und Kalender-Apps, die heimlich Anzeigen luden, w\u00e4hrend der Bildschirm ausgeschaltet war.<\/p>\n

\"Apps<\/a>

Einige der Apps mit versteckter Adware. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Die Nutzer wurden aufgefordert, die Apps zu den Energiespar-Ausnahmen hinzuzuf\u00fcgen, und konnten dadurch ihre Arbeit ungest\u00f6rt im Hintergrund erledigen. Nat\u00fcrlich f\u00fchrte dies auf den betroffenen Smartphones zu einer verk\u00fcrzten Akkulaufzeit. Diese Apps wurden insgesamt 2,5 Millionen Mal heruntergeladen. Die wichtigste Zielgruppe waren koreanische Nutzer.<\/p>\n

20 Millionen Downloads: betr\u00fcgerische Apps versprechen Belohnungen<\/h2>\n

Eine Anfang 2023 ver\u00f6ffentlichte Studie untersuchte mehrere zwielichtige Apps<\/a> bei Google Play, die \u00fcber 20 Millionen Downloads aufwiesen. Sie positionierten sich in erster Linie als Fitness-Tracker und versprachen Geldpr\u00e4mien f\u00fcr sportliche Aktivit\u00e4ten, betrachtete Werbung oder die Installation anderer Apps.<\/p>\n

\"Google<\/a>

Google Play: Apps, die Belohnungen f\u00fcr sportliche Aktivit\u00e4ten und Werbung versprechen. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Um genau zu sein: Der Nutzer konnte f\u00fcr diese Aktivit\u00e4ten Punkte sammeln und diese dann angeblich in echtes Geld umwandeln. Es gab nur ein Problem \u2013 um eine Belohnung zu erhalten, waren derart viele Punkte notwendig, dass das Ziel praktisch unerreichbar war.<\/p>\n

35 Millionen Downloads: Minecraft-Klone mit versteckter Adware<\/h2>\n

Nat\u00fcrlich gab bei Google Play in diesem Jahr auch b\u00f6sartige Spiele. Der Hauptschuldige war dabei (\u00fcbrigens nicht zum ersten Mal<\/a>) Minecraft \u2013 nach wie vor eines der beliebtesten Games der Welt. Im April 2023 wurden im offiziellen Android-Store 38 Minecraft-Klone<\/a> mit satten 35 Millionen Downloads gefunden. In diesen Apps war Adware mit dem sehr passenden Namen HiddenAds versteckt.<\/p>\n

\"Google<\/a>

Block Box Master Diamond \u2013 der beliebteste Minecraft-Klon, der mit HiddenAds infiziert war. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Wenn die infizierten Apps gestartet wurden, \u201ezeigten\u201c sie versteckte Werbung an, ohne dass der Nutzer etwas davon bemerkte. Obwohl dies eigentlich keine ernsthafte Bedrohung darstellte, konnte sich ein solches Verhalten auf die Ger\u00e4teleistung und Akkulaufzeit auswirken.<\/p>\n

Und dazu hin hatten die Entwickler die M\u00f6glichkeit, neue Versionen der infizierten Apps mit einem aggressiveren Monetarisierungsschema zu versehen. Auch dies geh\u00f6rt zum standardm\u00e4\u00dfigen Vorgehen bei sch\u00e4dlichen Android-Apps: Die Entwickler wechseln ganz einfach zwischen verschiedenen Arten von b\u00f6sartigen Aktivit\u00e4ten, je nachdem, was gerade profitabel ist.<\/p>\n

100 Millionen Downloads: Datensammlung und Klickbetrug<\/h2>\n

Ebenfalls im April 2023 wurden bei Google Play 60 weitere Apps<\/a> gefunden \u2013 auch sie waren mit Adware infiziert und wurden von den Forschern Goldoson getauft. Diese Apps wurden bei Google Play insgesamt mehr als 100 Millionen Mal heruntergeladen und erreichten weitere acht Millionen Downloads im beliebten koreanischen Store ONE<\/a>.<\/p>\n

Auch diese Malware besch\u00e4ftige sich mit der \u201eAnzeige\u201c verborgener Werbung. Dazu wurden im Hintergrund innerhalb der App Webseiten ge\u00f6ffnet. Dar\u00fcber hinaus sammelten die b\u00f6sartigen Apps Benutzerdaten \u2013 darunter Informationen \u00fcber installierte Apps, Standortdaten sowie Adressen von Ger\u00e4ten, die via WLAN und Bluetooth mit dem Smartphone verbunden waren.<\/p>\n

Wie war Goldoson in all diese Apps geraten? Offenbar hatten viele redliche Entwickler eine infizierte Bibliothek verwendet, ohne etwas von den darin enthaltenen b\u00f6sartigen Funktionen zu ahnen. Und das ist leider keine Seltenheit: Oft entwickeln und ver\u00f6ffentlichen die Malware-Sch\u00f6pfer ihre Apps gar nicht selbst bei Google Play, sondern stellen infizierte Bibliotheken bereit, die dann zusammen mit den Apps anderer Entwickler im Store landen.<\/p>\n

451 Millionen Downloads: Minispiel-Werbung und Datensammlung<\/h2>\n

Zum Schluss noch der gr\u00f6\u00dfte Coup dieses Jahres: Im Mai 2023 fand<\/a> ein Forscherteam bei Google Play sage und schreibe 101 unzul\u00e4ssige Apps mit sagenhaften 421 Millionen Downloads. In allen diesen Apps lauerte eine SpinOk-Codebibliothek.<\/p>\n

Kurz darauf entdeckten andere Forscher auf Google Play 92 weitere Apps<\/a> mit der gleichen SpinOk-Bibliothek. Die Downloads waren mit 30\u00a0Millionen etwas bescheidener. Insgesamt wurden beinahe 200 Apps mit SpinOK-Code gefunden \u2013 mit summa summarum 451 Millionen Downloads bei Google Play.Auch in diesem Fall wurde gef\u00e4hrlicher Code aus einer Drittanbieter-Bibliothek in die Apps eingeschleust.<\/p>\n

\"Von<\/a>

Minispiele, die \u201eBelohnungen\u201c versprachen und den Nutzern Apps mit SpinOk-Code anzeigten Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Oberfl\u00e4chlich betrachtet zeigten die Apps nervige Minispiele an, die Geldpr\u00e4mien versprachen. Doch eigentlich ging es um etwas anderes: Die SpinOK-Bibliothek konnte im Hintergrund Benutzerdaten und Dateien sammeln und diese an den Steuerungsserver der Angreifer senden.<\/p>\n

So sch\u00fctzen Sie sich vor Malware bei Google Play<\/h2>\n

Nat\u00fcrlich waren das l\u00e4ngst nicht alle F\u00e4lle aus dem Jahr 2023, in denen b\u00f6sartige Apps auf Google Play gelangten. Wir haben nur die interessantesten F\u00e4lle mit den meisten Downloads herausgepickt. Die wichtigste Erkenntnis aus diesem Artikel ist: Malware ist bei Google Play weitaus h\u00e4ufiger anzutreffen, als man eigentlich denkt \u2013 infizierte Apps erreichten insgesamt mehr als eine halbe Milliarde Downloads!<\/p>\n

Trotzdem bleiben offizielle Stores mit Abstand die sicherste Quelle. Der Download aus anderen Quellen ist wesentlich gef\u00e4hrlicher, weshalb wir auch dringend davon abraten<\/a>. Aber auch in offiziellen Stores ist Vorsicht geboten:<\/p>\n