Millionenfach installiert: 224 Malware-nachladende Apps bei Google Play entdeckt
Sicherheitsforscher von Human haben eine Werbebetrugskampagne aufgedeckt, an der mindestens 224 verschiedene Android-Apps aus dem Google-Play-Store beteiligt waren. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) hat der darüber verbreitete Schadcode im Hintergrund täglich bis zu 2,3 Milliarden Anzeigen aufgerufen, um durch automatische Klicks Werbeeinnahmen für die Angreifer zu generieren. Google hat die betrügerischen Apps inzwischen von seiner Plattform entfernt.
Die an der Slopads genannten Kampagne beteiligten Anwendungen hatten den Angaben nach zu großen Teilen einen KI-Bezug und wurden von Nutzern aus 228 Ländern und Regionen zusammen mehr als 38 Millionen Mal von Google Play heruntergeladen.
Auf infizierten Geräten erzeugte die enthaltene Malware versteckte Webviews, um darin Werbeanzeigen zu rendern und diese automatisch anzuklicken. Die meisten Anzeigenaufrufe kamen mit einem Anteil von 31 Prozent aus den USA. Danach folgen Indien (11 Prozent), Brasilien (7 Prozent) und Mexico (5 Prozent). Wie viel Traffic Deutschland beigesteuert hat, geht aus dem Bericht nicht hervor.
Schadcode in Bildern versteckt
Die an Slopads beteiligten Apps verhielten sich nach Angaben der Sicherheitsforscher allerdings nicht immer bösartig. Die Forscher stellten fest, dass nach der Installation zunächst geprüft wurde, ob der Nutzer die jeweilige App direkt über den Play Store aufgefunden und installiert hatte, oder ob er durch einen Klick auf eine zur Angriffskampagne gehörende Werbeanzeige zur zugehörigen Play-Store-Seite gelangt war.
Nur wenn die Installation nach einem Klick auf eine Anzeige erfolgt war, wurde über eine verschlüsselte Firebase-Konfiguration ein Modul namens Fatmodule nachgeladen, das für den Werbebetrug verantwortlich war. Um einer möglichen Erkennung zu entgehen, war zumindest ein Teil des Schadcodes zur Übertragung auf das Zielgerät mittels Steganographie(öffnet im neuen Fenster) in vier PNG-Dateien versteckt.
Nach der Installation rief Fatmodule weitere Daten wie etwa die in der versteckten Webview aufzurufenden Domains von einem Server der Angreifer ab, um darüber im Hintergrund die betrügerischen Klicks auszuführen.
Ausweitung der Kampagne erwartet
Google hat alle 224 von den Forschern gemeldeten Android-Apps aus dem Play Store entfernt. Einen zusätzlichen Schutz bietet das auf den meisten Android-Geräten standardmäßig aktivierte Sicherheitsfeature Google Play Protect(öffnet im neuen Fenster) , das mit Slopads verbundene Anwendungen automatisch erkennen und auf den Endgeräten der Anwender blockieren soll. Das funktioniert ebenso bei Apps, die aus anderen Quellen installiert wurden.
Die Human-Forscher gehen jedoch davon aus, dass die Angreifer ihre Strategie anpassen werden, um neue Apps in den Play Store zu laden und ihre Betrugskampagne darüber fortzusetzen. Dies soll teilweise auch schon während der Untersuchungen der Forscher geschehen sein.
Eigentlich gilt der Google Play Store als sicherste Quelle für den Bezug von Android-Apps. Die Slopads-Kampagne zeigt jedoch wieder einmal , dass es sich auch auf dieser Plattform lohnt, vor der Installation einer unbekannten App etwas genauer hinzusehen – etwa wer die App genau entwickelt hat und ob verdächtige Bewertungen vorliegen. Angreifer schaffen es immer wieder , über Apps aus dem Play Store Android-Malware zu verbreiten .