4,2 Millionen Downloads – Google Play verbreitete Schadsoftware

Android Patches (Bild: Shutterstock)

Google Play verbreitete rund 50 bösartige App, die Opfer über einen teuren SMS-Service abschröpfte. Mehr als 21 Millionen Nutzer könnten betroffen sein.

In Google Play wurden bösartige Android-Anwendungen verbreitet. Mindestens 50 Anwendungen sollen laut einer Untersuchung des Sicherheitsanbieters Check Point mit der Malware infiziert gewesen sein. Inzwischen hat Google die betreffenden Anwendungen aus dem Shop entfernt. Doch laut Ansicht der Forscher soll die Malware bis zu 4,2 Millionen Mal herunter geladen worden sein. Es sei einer der größten Malware-Kampagnen auf Google.

Die Forscher haben die Malware ExpensiveWall getauft, weil sie sich in Wallpaper-Apps verborgen hatte. Nach dem Download wurden betrügerische SMS-Nachrichten verschickt und die Opfer sollten für angeblichen Service bezahlen, wie Check Point in einer detaillierten Analyse schildert. Hier veröffentlicht der Sicherheitsanbieter auch eine Liste mit allen betroffenen Anwendungen.

Eine der mit ExpensiveWall befallenen Apps. (Bild: Check Point)
Eine der mit ExpensiveWall befallenen Apps. (Bild: Check Point)

Die jüngste Malware-Welle soll etwa 50 Apps befallen haben und laut einer Statistik von Google Play sollen diese Anwendungen zwischen 1 Millionen und 4,2 Millionen Downloads gehabt haben. McAfee hatte im Vorfeld bereits eine ähnliche Malware entdeckt. Damit würde die Zahl der möglichen Opfer auf zwischen 5,9 und 21,1 Millionen anwachsen. Wie viel Geld die Hacker mit der Kampagne tatsächlich erbeuteten, lässt sich derzeit nicht feststellen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Check Point hatte die Malware Anfang August an Google gemeldet. Und der Anbieter hatte schnell betroffene Anwendungen aus Google Play entfernt. Die Hacker reagierten jedoch ebenfalls schnell und schoben eine Variante des Schädlings hinterher, die soll etwa 5000 Geräte infiziert haben, bevor auch diese nach vier Tagen wieder aus dem Shop entfernt wurde.

Die Opfer sollten kostenpflichtige Abonnements abschließen. (Bild: Check Point)
Die Opfer sollten kostenpflichtige Abonnements ohne ersichtlichen Gegenwert abschließen. (Bild: Check Point)

Doch der Schädling greift nicht nur Geld ab, sondern sammelt auch Informationen wie IP-Adresse oder Standort über die infizierten Geräte. In einigen Fällen rief der Schädling auch Online-Werbungen auf. Auch dadurch könnten die Hacker Gewinne erzielt haben.

Wie konnte die Malware in den Store gelangen?

Die Schöfper von ExpensiveWall hatten den bösartigen Code in dem Schädling verschlüsselt. Über soziale Netze soll der Code angeboten worden sein. Entwickler hielten das angebotene Software-Developement-Kit “gtk” für ein vertrauenswürdiges Tool und bauten es ohne böse Absichten in die eigenen Apps ein, die dann auf Google Play veröffentlicht wurden.

Offenbar wurden die befallenen Apps auch auf verschiedenen sozialen Netzen beworben, wie Check Point aus den Kommentaren zu den fraglichen Apps schloss.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Im Mai kämpfte Google bereits mit Malware im Appstore. Judy befiel zwar weniger Apps im Store, wurde aber insgesamt wohl bis zu 36 Millionen Mal herunter geladen und war damit wohl die bislang größte Malware-Attacke in Google Play. Aufgrund der hohen Beliebtheit von Android versuchen Hacker immer wieder das Betriebssystem oder den Appstore zu kapern

Doch auch wenn Google die Malware aus den Store gelöscht hat, sind doch noch zahlreiche Geräte infiziert, wie ein Check-Point-Sprecher gegen über Ars Technica erklärte. Google verfügt zwar über das Feature Play Protect, das Anwendungen, die im Store gelöscht wurden, auch auf den Geräten deinstalliert. Doch viele Anwender haben dieses Feature deaktiviert oder nutzen ältere Android-Versionen, die diese Funktion noch nicht unterstützen.

 

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.