Goog­le Play Store: Android-Mal­wa­re und Spy­wa­re entdeckt

Fal­se­Gui­de – so nennt sich eine Schad­soft­ware, die sich offen­bar mil­lio­nen­fach auf Android-Smart­phones geschli­chen hat. Getarnt als Hilfs­soft­ware für Spie­le war die Mal­wa­re mehr­mals im Play Store auf­ge­taucht. Den glei­chen Weg nut­ze ein wei­te­rer Angrei­fer, der ein Sys­tem-Update ver­sprach – und die User statt­des­sen ausspionierte.

In der Regel hat Schad­soft­ware im Play Store kein lan­ges Leben vor sich. Zwar kann jede App zunächst unge­prüft hoch­ge­la­den wer­den, doch auto­ma­ti­sier­te Scan­ner prü­fen jedes Pro­gramm auf Mal­wa­re und ver­hin­dern gege­be­nen­falls die Frei­schal­tung. Ent­kommt doch ein­mal ein Schäd­ling dem Sicher­heits­check, mel­den die User schnell den uner­wünsch­ten Eindringling.

In zwei Fäl­len hat­te Schad­soft­ware jetzt aber offen­bar doch Erfolg. Zum einen, fand Check­Point her­aus, wur­den soge­nann­te Fal­se­Gui­de-Apps bis zu zwei Mil­lio­nen Mal her­un­ter­ge­la­den, zum ande­ren war über mehr als zwei Jah­re eine Spy­wa­re in Form eines Sys­tem-Updates im Play Store zu fin­den, wie Goo­gle­Watch­Blog berichtet.

In bei­den Fäl­len gab es Anzei­chen für den Nut­zer, den Apps zu misstrauen

Fal­se­Gui­de-Soft­ware tarnt sich als Zusatz-Apps für Spie­le, etwa als Anlei­tun­gen. Im jüngs­ten Fall wur­den sie für Games wie FIFA Mobi­le, Poké­mon GO, Super Mario und vie­le wei­te­re Publi­kums­ren­ner ange­bo­ten. Die ers­ten Ver­sio­nen tauch­ten im Novem­ber ver­gan­ge­nen Jah­res auf, wei­te­re folg­ten im Febru­ar und April. Ver­däch­tig: Die App for­dert Admi­nis­tra­tor­rech­te für das betrof­fe­ne Gerät ein, was bei gewöhn­li­chen Apps in der Regel nicht nötig ist und den User miss­trau­isch machen soll­te. Ein­mal erteilt, rich­tet die Soft­ware den Fire­ba­se-Cloud-Mes­sa­ging-Dienst ein, über den wei­te­re Mal­wa­re und Pop-Up-Wer­bung gela­den wer­den kann.

Der zwei­te Ein­dring­ling, das ver­meint­li­che Sys­tem-Update, soll bereits seit 2014 im Play Store zu fin­den gewe­sen sein und einen mil­lio­nen­fa­chen Down­load ver­zeich­net haben. Dabei gab es auch hier Alarm­zei­chen: Zum einen soll­te ein “Sys­tem Update” als App schon für sich Miss­trau­en erre­gen. Dann waren – ent­ge­gen den Vor­schrif­ten – kei­ne Screen­shots im Play Store zu sehen. Und schließ­lich berich­te­ten meh­re­re User, dass die Instal­la­ti­on stets abge­bro­chen wür­de. Den­noch lief die Soft­ware im Hin­ter­grund wei­ter und regis­trier­te unter ande­rem per­ma­nent die Posi­ti­on des Nut­zers. Mitt­ler­wei­le wur­de die Spy­wa­re aus dem Play Store entfernt.

Goog­le hat ver­spro­chen, sei­ne Sicher­heits­sys­te­me kon­ti­nu­ier­lich zu ver­bes­sern und unver­züg­lich Maß­nah­men zu ergrei­fen, sobald Hin­wei­se auf frag­wür­di­ge Apps eingehen.