+43 699 / 18199463
office@itexperst.at
Populäre Google Play App voller Malware

Populäre Google Play App voller Malware

Google musste Ende August eine seit neun Jahren verfügbare App aus seinem Google Play Store entfernen. Bei der populären App handelte es sich um den CamScanner, eine App um PDF-Dokumente zu erstellen. Seit 2010 wurde sie über 100 Millionen Mal heruntergeladen. Erst seit kurzen enthielt die CamScanner App bösartige Malwarekomponenten, über die Google informiert wurde. Die entsprechende iOS-Version ist weiterhin im Apple App Store erhältlich.

Die App wurde von der Firma CC Intelligence mit Sitz im chinesischen Shanghai entwickelt., die sich auf die optische Zeichenerkennung (OCR) spezialisiert hat. Es entwickelt und verkauft Apps mit OCR-Textlesefunktionalität, beispielsweise CamCard zum Erfassen von Text auf Visitenkarten. Die meisten Apps enthalten Werbung und In-App Verkaufsangebote.

Allerdings stellten IT-Forscher von KasperskyLabs fest, dass die aktuellsten CamScanner Versionen eine neue Werbebibliothek mit einem versteckten Trojaner enthielt. Die Forscher stellten fest, dass der bösartige Code „aufdringliche Anzeigen zeigte und Nutzer für kostenpflichtige Abos anmeldete“. Aufdringliche Anzeigen kommen sehr oft vor bei Apps. Allerdings will kein Nutzer für etwas bezahlen, für dass er sich offiziell gar nicht angemeldet hat. Laut Kaspersky ist der sogenannte Trojaner-Dropper so konfiguriert, dass er sich mit den Servern der kriminellen Hintermänner verbindet, zusätzlichen Code herunterlädt und diesen dann auf Android-Geräten ausführt. Kaspersky fiel die App auf, als die Benutzerbewertungen der App immer negativer wurden. Bisher hatte die CamScanner App mit einer exzellenten 5-Sterne-Bewertung großen Anklang im Play Store erhalten.

Der Trojaner in der Werbebibliothek, genannt Necro.n, wurde höchstwahrscheinlich heimlich unter dem Deckmantel eines Werbepakets in die CamScanner App eingeschleust. Der Trojaner ist den Forschen nicht unbekannt. Ein ähnliches Modul war oft in vorinstallierter Malware auf in China hergestellten Smartphones zu finden. Necro.n selbst führt keine bösartigen Aktivitäten aus. Er ist ein reiner Downloader für anderen bösartigen Code. Mit dem können sich Kriminelle dann auf dem Gerät des Opfers austoben. Beispielsweise das Mobile Banking Kontos nutzen zum Abbuchen von unerwünschter Werbung.

Ein anderes Beispiel hierfür ist die Werbebibliothek genannt BeiTaPlugin. Sie wurde kürzlich in 238 Google Play-Anwendungen verbreitet und betraf 440 Millionen Nutzer weltweit. Nachdem Google diese Apps aus dem Play Store entfernt hatte, ging das Spiel von vorn los. Andere chinesische Android-App-Entwickler versteckten die gleiche Bibliothek in weiteren 60 Apps. Worauf Google sie wieder entfernte. Kaspersky vermutet, dass dahinter eine skrupellose Werbeagentur steckt, die Geschäfte mit den App-Entwickler macht.

Laut dem Hersteller sind jetzt alle Werbe-SDKs, die nicht von Google Play zertifiziert wurden, aus der CamScanner App entfernt. Gleichzeitig gibt es auch eine aktualisierte Version des CamScanners. Betroffenen Anwendern wird von Unternehmensseite Hilfe angeboten. CC Intelligence wird gegen die Geschäftspartner rechtliche Schritte einleiten.

Die Kasperski Forscher sagten zu dem Vorfall: „Was wir aus dieser Geschichte lernen können, ist, dass jede App – auch eine aus einem offiziellen Store, eine App mit einem guten Ruf und eine App mit Millionen positiver Bewertungen sowie einer großen, treuen Benutzerbasis – sich über Nacht zu Malware entwickeln kann. Jede App ist nur ein Update von einer großen Veränderung entfernt“.

Auch SANS IT-Security Experte William Hugh Murray hat Ratschläge bereit: Er rät Android-Nutzern diese App nutzen, „mindestens einen Factory-Reset durchzuführen“. Murray empfahl weiter:

„Zusätzlich zur Wiederherstellung der Programme in einen bekannten (sicheren?) Zustand, werden dadurch alle Daten gelöscht. Bevor man diese Daten aus dem Back-up wiederherstellt, sollten man aber zumindest das Risiko in Betracht ziehen, dass das Gerät dadurch erneut kontaminiert werden könnte. Anwender von sensiblen Anwendungen in unsicheren Umgebungen sollten überlegen, ob die Kosten und der Komfort von Android es wert sind, dieses hohe Risiko zu akzeptieren.“

Artikel von zdnet.com, 28.08.2019: Android Google Play app with 100 million downloads starts to deliver malware
Artikel von theregister.co.uk, 28.08.2019: Android PDF app with just 100m downloads caught sneaking malware into mobes

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen