Spyware-Funktionen in über 500 Android-Apps im Play Store gefunden

MobileMobile Apps

Sie wurden zum Teil mehrere Millionen Mal heruntergeladen. Unter anderem zeichnen sie Zeitpunkt und Nummer aller ausgehenden Anrufe auf.Die Spionagefunktionen gehen auf eine Komponente zurück, die von den Apps genutzt wird, um Werbung einzublenden.

Bis vor kurzem nutzten über 500 im Google Play Store angebotene Apps um Werbung einzublenden ein Igexin genanntes Software Development Kit (SDK), das allerdings durch ein Plug-in Funktionen nachladen konnte die es ermöglichen, die Nutzer auszuspähen. Alle derart infizierten Apps wurden insgesamt über 100 Millionen Mal heruntergeladen.

Entdeckt wurden die gefährlichen Funktionen von Igexin nun von Experten des IT-Sicherheitsanbieters Lookout. Sie gehen in ihrer Warnung auf zwei der infizierten Apps näher ein, um die Funktionsweise zu beschreiben. Die Fotografie-App Selfie City, die auf über fünf Millionen Downloads kam, und die App LuckyCash mit mehr als einer Million Downloads. Unter den insgesamt rund 500 infizierten Apps waren auch diverse nicht näher genannte Spiele, von denen eines auf über 50 Millionen Smartphones installiert wurde. Auch eine Wetter-App, eine Internet-Radio-App und eine weitere Foto-App mit jeweils bis zu 5 Millionen Downloads gehörten dazu.

Das gefährliche Werbe-SDK Igexin war unter anderem in die Apps LuckyCash und SelfieCity integriert. (Screenshot: Lookout)
Das gefährliche Werbe-SDK Igexin war unter anderem in die Apps LuckyCash und SelfieCity integriert. (Screenshot: Lookout)

Das in China entwickelte Igexin-SDK verspricht Entwicklern, dass es Daten über Nutzer wie deren Interessen, Beruf, Einkommen und Standort für Werbezwecke nutzen kann. Die Forscher wurden auf Igexin aufmerksam, weil die es nutzenden Apps mit IP-Adressen und Servern kommunizierten, die auch für die Verteilung von Schadsoftware eingesetzt werden.

Die Igexin-Apps können Log-Dateien auslesen und finden dort eine Vielzahl vertraulicher Informationen. Zudem nutzen sie die ordnungsgemäße Android-Funktion PhoneStateListener, um Details zu Telefonanrufen aufzuzeichnen. Die Apps informierten Nutzer jedoch nicht darüber, dass Zeitpunkt und Nummer jedes Anrufs gespeichert wurde.

Lookout erklärt, dass die Entwickler der Apps von den unerwünschten Funktionen wahrscheinlich nicht wussten. Sie seien wohl davon ausgegangen, dass das Werbe-SDK ihnen lediglich hilft, Werbung an die Nutzer ihrer kostenlosen Apps auszuliefern, um so Einnahmen zu erhalten. Laut Lookout sind möglicherweise nicht alle betroffenen Apps per Plug-in um die Spionagefunktionen ergänzt worden. Google habe alle betroffenen Apps inzwischen aus dem Play Store entfernt und durch ungefährliche Versionen ersetzt. Ob alle Nutzer, die eine der infizierten Apps heruntergeladen haben, inzwischen ein Update ohne Spyware erhalten haben ist jedoch noch unklar.

Erst kürzlich hatten Experten von Trend Micro im Google Play Store 340 Adware-Apps entdeckt. Davon waren Anfang August noch gut 100 erhältlich. Die ersten dieser Apps tauchten bereits im August 2016 in Googles App-Marktplatz auf. Sie erzeugen automatisch Klicks auf unerwünscht eingeblendete Werbung.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen