Google erklärt: So gelangt eine Android-Malware in den Play Store

Trotz strenger Kontrollen mogelt sich immer wieder neue Android- Malware in den Play Store . Warum das so ist, erklärt Google nun selbst.

5. August 2023 um 12:10 Uhr / Marc Stöckel

6 Kommentare News folgen (öffnet im neuen Fenster)

Trotz strenger Sicherheitskontrollen verbreitet sich immer wieder Malware über den Google Play Store. (Bild: pexels.com / Polina Tankilevitch) — Trotz strenger Sicherheitskontrollen verbreitet sich immer wieder Malware über den Google Play Store. Bild: pexels.com / Polina Tankilevitch

Das Cybersecurity Action Team von Google hat kürzlich einen Bericht veröffentlicht(öffnet im neuen Fenster) , in dem es unter anderem eine gängige Technik erläutert, mit der böswillige Akteure Android-Malware über den Google Play Store verbreiten. Zwar verfügt Googles App-Store über strenge Prüfprozesse und Sicherheitskontrollen, jedoch gelingt es Angreifern immer wieder, diese zu umgehen.

Grund dafür ist einem Bericht von Bleeping Computer(öffnet im neuen Fenster) zufolge etwa die Tatsache, dass die für die Verbreitung von Malware bereitgestellten Apps vorerst gar keinen schadhaften Code enthalten. Dieser gelange stattdessen erst nach der Installation in Form von Updates oder durch das einfache Nachladen weiterer Nutzdaten von einem Server des Angreifers auf das Zielgerät.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: EU-Entgelttransparenzrichtlinie: Was Unternehmen ab 2026 konkret erwartet

zum Ratgeber

Seminar: Microsoft Entra ID (Azure Active Directory): virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Vorstellungsgespräche und Job Interviews erfolgreich meistern (E-Learning)

zum Kurs

Schadcode kommt häufig per Update

"Eine Möglichkeit, mit der böswillige Akteure versuchen, die Sicherheitskontrollen von Google Play zu umgehen, ist die Versionierung" , so das Sicherheitsteam des Android-Entwicklers. Dabei lade ein böswilliger Akteur zunächst eine scheinbar legitime Anwendung in den Google Play Store, die die Prüfungen des Unternehmens bestehe. Anschließend reiche er über einen Drittanbieterserver ein Update nach, "das den Code auf dem Endnutzergerät ändert und bösartige Aktivitäten ermöglicht."

Zwar durchlaufen auch die über den Play Store bereitgestellten Patches eine strenge PSA-Prüfung (potenziell schädliche Apps), jedoch sei es durch die bereits beschriebene und als Dynamic Code Loading(öffnet im neuen Fenster) bezeichnete Technik möglich, "einige dieser Kontrollen" zu umgehen.

Verstoß gegen die Richtlinien von Google Play

Dennoch betont der Konzern, dass derartige Aktivitäten gegen die Richtlinien seiner Plattform verstoßen und die betroffenen Anwendungen möglicherweise als Backdoors eingestuft(öffnet im neuen Fenster) werden. Den Richtlinien zufolge(öffnet im neuen Fenster) müssen alle Ressourcen, die eine Android-App nachträglich herunterlädt, "für die Verwendung der App durch den Nutzer erforderlich" sein. Ein Verstoß sei es beispielsweise, wenn sich eine App von Version zu Version deutlich verändere, ohne den Anwender zu benachrichtigen und ohne den Store-Eintrag entsprechend zu aktualisieren. Gleiches gelte aber auch für Apps, die versuchen, ihr Verhalten während der Überprüfung zu ändern oder zu verschleiern.

Darüber hinaus dürfen sich über Google Play bereitgestellte Apps "ausschließlich anhand des Updatemechanismus von Google Play modifizieren, ersetzen oder aktualisieren lassen." Das Herunterladen von ausführbarem Code von einer anderen Quelle als Google Play ist den Richtlinien der Plattform(öffnet im neuen Fenster) zufolge untersagt.