Mittlerweile haben weltweit mehr als 1,3 Millionen Geräte mindestens eine dieser aufdringlichen Apps installiert

Oktober 17, 2019 —

App-Entwickler betten seit Jahren Ad-Codes in ihre Apps ein, um die Entwicklungskosten zu decken. Einige Entwickler nutzen ihre Apps aber einfach als Plattform, um Anzeigen auf mobile Geräte zu schalten. Die SophosLabs haben kürzlich 15 Apps bei Google Play entdeckt, die sich mit solchen Praktiken beschäftigen. Die Apps erzeugen dabei häufig auftretende, große und aufdringliche Anzeigen. Dabei verstecken sie ihre App-Icons im Launcher, um es Anwendern schwer zu machen, sie zu finden und zu entfernen. Einige von ihnen gehen sogar noch einen Schritt weiter, indem sie sich auf der App-Einstellungsseite des Telefons tarnen. Mittlerweile haben weltweit mehr als 1,3 Millionen Geräte mindestens eine dieser aufdringlichen Apps installiert.

Die Entwickler nutzen dabei unterschiedliche Ansätze. So bedient sich die App free.calls.messages (Flash On Calls & Messages - auch bekannt als Free Calls & Messages) einiger cleverer Tricks, um zu verhindern, dass Benutzer die App deinstallieren. Beim ersten Start zeigt die App eine Meldung mit der Aufschrift „Diese App ist mit Ihrem Gerät nicht kompatibel" an. Anwender könnten denken, dass die App abgestürzt ist, denn nach diesem „Absturz" öffnet die App den Play Store und navigiert zur Google Maps-Seite. Der Anwender meint dann irrtümlich, dass die Maps App die Ursache des Problems ist. Das ist sie aber nicht. Die App verbirgt ihr eigenes Symbol, so dass sie nicht in der App-Tray des Launchers erscheint.

Die SophosLabs haben auch beobachtet, dass Name und Symbole der Anwendung, die auf der Einstellungsseite der Apps auf dem Smartphone zu sehen sind, oftmals nicht mit der Funktion übereinstimmen. Neun von 15 Apps verwendeten irreführende Applikationssymbole und -namen, von denen die meisten ausgewählt zu sein scheinen, weil sie plausibel einer harmlosen System-App ähneln könnten. Indem bei diesen Apps das Launcher-Symbol ausgeblendet ist und ein Anwendungssymbol und ein Name verwendet wird, der einer Systemanwendung ähnelt, liefern diese Anwendungen dem Anwender ein überzeugendes Argument dafür, dass auf dem Telefon nichts Ungewöhnliches installiert ist.

Andere Apps verwenden eine Bibliothek namens koolib, die einen Dienst installiert, um das Symbol nach einer bestimmten Zeit nach der Installation der App auszublenden. Die meisten dieser Apps wurden dem Benutzer als eine oder andere Art von Utility-App präsentiert. QR-Codeleser, Bildbearbeiter, Backup-Dienstprogramme oder ein Telefonfinder. Die Apps tarnen sich außerdem mit einem Namen, der eine harmlose App darstellt, wie z.B. Google Play Store, Update, Backup oder Time Zone Service. Diese Namen werden nur in den Einstellungen des Telefons angezeigt.

All diese Apps erschienen in diesem Jahr. Die älteste von ihnen, free.calls.messages, wurde im Januar veröffentlicht; zwei Monate nach ihrem Erscheinen hatte sie mehr als eine Million Installationen. Obwohl diese Apps von verschiedenen Publisher-Accounts hochgeladen wurden, teilten viele eine ähnliche Code-Struktur, Benutzeroberfläche, Paketnamen und Verhalten – zu viele, als dass es ein Zufall sein könnte. So enthielt beispielsweise die App com.cc.image.editor einen Verweis auf eine andere App, com.bb.image.editor, innerhalb ihres Codes. Die beiden Apps wurden trotz ihrer ähnlichen Namen von völlig unterschiedlichen Unternehmen veröffentlicht. Dies deutet darauf hin, dass erstere von letzteren abgeleitet sein könnten – dennoch kann man nicht definitiv sagen, dass derselbe Autor beide Apps entwickelt hat.

Über Sophos

Sophos ist ein führender Anbieter im Bereich Cybersicherheit und schützt weltweit 600.000 Unternehmen und Organisationen mit einer KI-gestützten Plattform und von Experten bereitgestellten Services. Sophos unterstützt Unternehmen und Organisationen unabhängig von ihrem aktuellen Sicherheitsniveau und entwickelt sich mit ihnen weiter, um Cyberangriffe erfolgreich abzuwehren. Die Lösungen von Sophos kombinieren maschinelles Lernen, Automatisierung und Echtzeit-Bedrohungsinformationen mit der menschlichen Expertise der Sophos X-Ops. So entsteht modernster Schutz mit einer 24/7 aktiven Erkennung, Analyse und Abwehr von Bedrohungen.
Das Sophos-Portfolio beinhaltet branchenührende Managed Detection and Response Services (MDR) sowie umfassende Cybersecurity-Technologien– darunter Schutz für Endpoints, Netzwerke, E-Mails und Cloud-Umgebungen, XDR (Extended Detection and Response), ITDR (Identity Threat Detection and Response) und Next-Gen-SIEM. Ergänzt wird das Angebot durch Beratungs-Services, die Unternehmen und Organisationen helfen, Risiken proaktiv zu reduzieren und schneller zu reagieren – mit umfassender Transparenz und Skalierbarkeit, um Bedrohungen immer einen Schritt voraus zu sein.
Der Vertrieb der Sophos-Lösungen erfolgt über ein globales Partner-Netzwerk, das Managed Service Provider (MSPs), Managed Security Service Provider (MSSPs), Reseller und Distributoren, Marketplace-Integrationen und Cyber Risk Partner umfasst. So können Unternehmen und Organisationen flexibel auf vertrauensvolle Partnerschaften setzen, wenn es um die Sicherheit ihres Geschäfts geht.  Der Hauptsitz von Sophos befindet sich in Oxford, Großbritannien. Weitere Informationen finden Sie unter www.sophos.de.