(PM) Schwerte, 17.03.2015 - Bitdefender hat zehn Apps auf Google Play gefunden, die voller aggressiver Malware stecken und ihre Nutzer entweder durch Täuschung und Verunsicherung zum Abonnieren von Premium-Nummern bewegen oder weitere Apps installieren, die mit noch mehr Werbung einhergehen.

Diese Apps (einschließlich der auf Google Play weiterhin erhältlichen App „What is my ip?“) sind darauf ausgelegt, bei der Installation einen anderen Namen zu verwenden, um es Nutzern möglichst schwer zu machen, sie aufzuspüren und zu deinstallieren.

Nach der Installation legen sie unter dem Namen „System Manager“ eine Desktop-Verknüpfung an. Führt jetzt ein Nutzer die ständigen Browser-Weiterleitungen und Scareware-Benachrichtigungen auf eine dieser Apps zurück, wird er dennoch Probleme haben, sie zu finden und zu deinstallieren, weil sie sich im Anwendungsmanager unter einem unbekannten neuen Namen und nicht etwa unter „What is my ip?“ versteckt. Technisch weniger versierte Nutzer werden so auf die falsche Fährte gelockt und die App bleibt auf unbestimmte Zeit aktiv.

Diese Apps konnten die Prüfung durch Google vermutlich umgehen, weil über die URL, die den Nutzer umleitet, selbst keine schädlichen .apk-Dateien verbreitet werden. Sie dient der Umleitung des Browsers – so der Standard-Android-Browser, Chrome, Firefox, Facebook oder auch TinyBrowser – auf eine eigens angelegte URL, von der aus der Nutzer von einer Werbe-Website auf die nächste weitergeleitet wird.

Bei jeder Suchanfrage, jeder angeklickten URL und jedem in Facebook geöffneten Link wird der Nutzer nun auf eine Website weitergeleitet (www.mobilsitelerim.com/anasayfa), auf der verschiedenste standortbezogene Werbeanzeigen zu sehen sind. Diese sollen die Besucher wahlweise so weit verunsichern, dass sie ein Premium-Abonnement für vermeintliche Sicherheitsdienste abschließen, oder sie dazu bringen, weitere Adware zu installieren, die sich als System- oder Performance-Update tarnt.

Dafür benötigen diese böswilligen Apps nur zwei Zugriffsberechtigungen – Netzwerkkommunikation und Systemprogramme –, können damit aber große Probleme verursachen und den Nutzer möglicherweise dazu bewegen, weitere Apps und Adware herunterzuladen, die seine Gerät lahmlegen.

Und auch wenn diese Apps an sich nicht schädlich sind, unterscheiden sie sich durch den Versand sensibler Nutzerdaten an Dritte kaum von der aggressiven Adware, die man bereits vom Desktop-PC her kennt. Die daraus resultierende Flut aus Pop-ups, Umleitungen und Werbeanzeigen ist für den Nutzer äußerst lästig und schränkt die Benutzererfahrung und die Leistung des Android-Geräts erheblich ein.

Aggressive Adware hat sich in den letzten Jahren gefährlich schnell ausgebreitet und sich von In-App-Werbung und Adware-SDKs weiterentwickelt zu Browser-Umleitungen und der unbemerkten Ausführung von Apps, die sich unter einem falschen Namen verbergen.

Zum Zeitpunkt der Verfassung dieses Artikels waren einige dieser Apps auch weiterhin auf Google Play verfügbar. Sie werden von uns erkannt als Android.Trojan.HiddenApp.E. Wir können jedem nur dazu raten, eine Sicherheitslösung zu installieren, die Malware und aggressive Adware erkennt und von Android-Geräten fernhält.

Dieser Artikel basiert auf technischen Informationen, die mit freundlicher Genehmigung von Alin Barbatei, Forscher bei Bitdefender, zur Verfügung gestellt wurden.

Samples md5:

• f2d57300d5f991dbc965ac092d5f4301
• c1d7afa5c4eb0b8e3c0292eadf98771e
• 16967bea7d3dcb08c12220925ef6f030
• cb9d3ff0eea162dd602eefe7b08ded49
• dbc99ba3241f943cc9e58870f0e40b34
• 51bc232de9af3f34a58d824da86a70bc
• 996c4a1525729466d87edf85cbbdf5de
• 6f37bd3c286440e37103ee8b67aca7d6
• 47b863625a8022399247fc92c4d5d178
• e1ccb51569635415e66af16cbdd94ddc