Google: drei Adware-Apps aus Play Store entfernt

Google hat drei Anwendungen aus seinem Play Store gelöscht, die Nutzer mit Verzögerung mit unerwünschter Werbung für andere Apps belästigten. Die Anwendungen zeigten ihr schädliches Verhalten erst nach einigen Wochen. Sie informierten den Nutzer über Systembenachrichtigungen über angebliche Probleme und leiteten ihn dann zu anderen Programmen im App Store weiter.

Nachdem sie sich bereits millionenfach verbreiten konnten, wurden die Adware-Apps gestern von Avast an Google gemeldet. Laut der Sicherheitsfirma hatten sie trotz eines eindeutig auffälligen Verhaltens Googles Play-Store-Überprüfung passiert.

„Durak“, eine der drei Apps, ein an englischsprachige Nutzer gerichtetes Kartenspiel namens wurde seit Dezember zwischen 5 und 10 Millionen Mal installiert, wie aus Googles Statistik hervorgeht. Bei den beiden anderen Anwendungen, die auf russischsprachige User abzielten, handelt es sich um einen IQ-Test und eine Wissens-App zur russischen Geschichte.

Die inzwischen gelöschte Kartenspiel-App Durak wurde millionenfach installiert (Screenshot: Avast).

Die inzwischen gelöschte Kartenspiel-App Durak wurde millionenfach installiert (Screenshot: Avast).

Schon im Januar demonstrierte ein Betroffener in einem Youtube-Video die Funktionsweise der Adware-Apps: Sobald sein Gerät aufwachte, zeigte die Anwendung Mitteilungen in Form von Systembenachrichtigungen an, die ihn aufforderten, auf „Ok“ zu klicken, um scheinbare Probleme – etwa mit einer langsamen Internetverbindung – zu beheben. Kam er dieser Aufforderung nach, wurde er zu anderen Apps im Play Store weitergeleitet. Laut Filip Chytry, Mobile-Malware-Analyst bei Avast, versuchten die Adware-Apps in einigen Fällen sogar, Anwender auf Drittanbieter-App-Stores umzulenken.Das Perfide an ihnen war, dass sie anfangs noch wie beschrieben funktionierten, was auch die millionenfachen Installationen erklärt.

Erst nach einem Neustart des Geräts und einer mehrtägigen Wartezeit traten die beschriebenen Anomalien auf. „Nach einer Woche könnte das Gefühl aufkommen, dass mit dem Smartphone etwas nicht stimmt. Manchmal dauert es auch bis zu 30 Tage, bis die Apps ihr wahres Gesicht zeigen“, schreibt Chytry in einem Blogbeitrag. „Nach 30 Tagen werden wohl wenige Nutzer erahnen können, welche der Apps ein ungewöhnliches Verhalten auf dem Handy hervorrufen könnte, richtig?“

Die Adware-Apps zeigten solche gefälschten Warnhinweise an (Bild: Avast).

Die Adware-Apps zeigten solche gefälschten Warnhinweise an (Bild: Avast).

Darin besteht das eigentliche Problem der Nutzer, die diese Apps installiert haben: Es ist schwierig zu sagen, welche installierte Anwendung die falschen Einblendungen auslöst und welche man entsprechend löschen sollte. Die Nachrichten werden auch dann angezeigt, wenn eine reguläre Sicherheitslösung auf dem Gerät installiert ist.

Google hat innerhalb eines Tages auf Avasts Hinweis reagiert und die besagten Apps entfernt. Allerdings behaupten Nutzer im Avast-Forum, dass sie den Internetkonzern schon Ende Januar auf die Schadprogramme hingewiesen hätten.

In den letzten Jahren hat Google seine Entwickler-Richtlinien mehrfach verschärft, um Betrugsversuchen Einhalt zu gebieten. Beispielsweise untersagt es neben der Verbreitung von Viren, Würmern und Trojanern auch Werbung in Systembenachrichtigungen. Wörtlich heißt es: „Apps sowie die darin enthaltenen Anzeigen dürfen in Systembenachrichtigungen auf dem Gerät des Nutzers keine Werbung schalten, es sei denn, bei den Benachrichtigungen handelt es sich um einen integralen Bestandteil der installierten App.“ Aber dennoch tauchen immer wieder Adware-Anwendungen wie diese im Play Store auf.

Im vorliegenden Fall wurden die schädlichen Anzeigen durch drei rechtmäßige Drittanbieter-Werbenetzwerke ausgeliefert. Die Instruktionen zur Anzeige der Werbung – sowie die für die Apps, zuvor einige Wochen zu warten – sind in einer APK-Datei des Advertising Software Development Kit (SDK) enthalten.

Ein Avast-Forennutzer führt dazu aus: „Die APK-Datei enthält eine Konfigurationsdatei für das Ad-SDK ‚mobi.dash‘. Sie heißt ‚ads_settings.json‘ und ist im Ordner ‚res\raw‘ gespeichert. Darin ist festgelegt, wie lange die App bis zur Anzeige der Werbung warten soll. Außerdem enthält die APK-Datei Schadcode innerhalb des Pakets ‚mobi.dash.*‘. Beispielsweise gibt es eine Klasse namens ‚mobi.dash.homepage.AdsHomepageUtils‘, die die Browser-Startseite ändern kann, und eine ‚mobi.dash.shortcuts.AdsShortcutUtils‘, die Launcher-Verknüpfungen erstellt, wenn der Kommandoserver den entsprechenden Befehl sendet.“

[mit Material von Björn Greif, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Google: drei Adware-Apps aus Play Store entfernt

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *