4,2 Millionen Downloads – Google Play verbreitete Schadsoftware

In Google Play wurden bösartige Android-Anwendungen verbreitet. Mindestens 50 Anwendungen sollen laut einer Untersuchung des Sicherheitsanbieters Check Point mit der Malware infiziert gewesen sein. Inzwischen hat Google die betreffenden Anwendungen aus dem Shop entfernt. Doch laut Ansicht der Forscher soll die Malware bis zu 4,2 Millionen Mal herunter geladen worden sein. Es sei einer der größten Malware-Kampagnen auf Google.

Die Forscher haben die Malware ExpensiveWall getauft, weil sie sich in Wallpaper-Apps verborgen hatte. Nach dem Download wurden betrügerische SMS-Nachrichten verschickt und die Opfer sollten für angeblichen Service bezahlen, wie Check Point in einer detaillierten Analyse schildert. Hier veröffentlicht der Sicherheitsanbieter auch eine Liste mit allen betroffenen Anwendungen.

Die jüngste Malware-Welle soll etwa 50 Apps befallen haben und laut einer Statistik von Google Play sollen diese Anwendungen zwischen 1 Millionen und 4,2 Millionen Downloads gehabt haben. McAfee hatte im Vorfeld bereits eine ähnliche Malware entdeckt. Damit würde die Zahl der möglichen Opfer auf zwischen 5,9 und 21,1 Millionen anwachsen. Wie viel Geld die Hacker mit der Kampagne tatsächlich erbeuteten, lässt sich derzeit nicht feststellen.

Check Point hatte die Malware Anfang August an Google gemeldet. Und der Anbieter hatte schnell betroffene Anwendungen aus Google Play entfernt. Die Hacker reagierten jedoch ebenfalls schnell und schoben eine Variante des Schädlings hinterher, die soll etwa 5000 Geräte infiziert haben, bevor auch diese nach vier Tagen wieder aus dem Shop entfernt wurde.

Doch der Schädling greift nicht nur Geld ab, sondern sammelt auch Informationen wie IP-Adresse oder Standort über die infizierten Geräte. In einigen Fällen rief der Schädling auch Online-Werbungen auf. Auch dadurch könnten die Hacker Gewinne erzielt haben.

Wie konnte die Malware in den Store gelangen?

Die Schöfper von ExpensiveWall hatten den bösartigen Code in dem Schädling verschlüsselt. Über soziale Netze soll der Code angeboten worden sein. Entwickler hielten das angebotene Software-Developement-Kit “gtk” für ein vertrauenswürdiges Tool und bauten es ohne böse Absichten in die eigenen Apps ein, die dann auf Google Play veröffentlicht wurden.

Offenbar wurden die befallenen Apps auch auf verschiedenen sozialen Netzen beworben, wie Check Point aus den Kommentaren zu den fraglichen Apps schloss.

Im Mai kämpfte Google bereits mit Malware im Appstore. Judy befiel zwar weniger Apps im Store, wurde aber insgesamt wohl bis zu 36 Millionen Mal herunter geladen und war damit wohl die bislang größte Malware-Attacke in Google Play. Aufgrund der hohen Beliebtheit von Android versuchen Hacker immer wieder das Betriebssystem oder den Appstore zu kapern.

Doch auch wenn Google die Malware aus den Store gelöscht hat, sind doch noch zahlreiche Geräte infiziert, wie ein Check-Point-Sprecher gegen über Ars Technica erklärte. Google verfügt zwar über das Feature Play Protect, das Anwendungen, die im Store gelöscht wurden, auch auf den Geräten deinstalliert. Doch viele Anwender haben dieses Feature deaktiviert oder nutzen ältere Android-Versionen, die diese Funktion noch nicht unterstützen.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.