Über den Google Play Store wurden offenbar über einen längeren Zeitraum mehrere verschiedene Apps verbreitet, die Teil eines ausgeklügelten Bot-Netzwerks zur Erschleichung von Werbeeinnahmen waren. Insgesamt sollen mehr als 36 Millionen Android-Smartphones mit der Malware infiziert worden sein, was die Software zum bisher meist verbreiteten Schädling auf dem Betriebssystem machen könnte. Google hat in der Zwischenzeit reagiert und die Apps der verantwortlichen Anbieter entfernt.
Die Malware befand sich in Apps, die unter dem Label “Judy” verbreitet wurden. Anscheinend konnten die Betrüger die Sicherheitsroutinen im Google Play Store austricksen, in dem sie den schadhaften Code erst nach der Installation der App auf das Smartphone des Nutzers luden. Diese “Mutation” machte es auch Antivirenprogrammen nahezu unmöglich, den Schädling zu entdecken.
Nach diesem nachträglichen “Update” wurde das infizierte Smartphone zum Teilnehmer eines Klick-Netzwerks. Die infizierte App führte in den meisten Fällen unbemerkt Klicks auf Anzeigen aus, die von den Betrügern selbst betrieben wurden. Für diese Klicks erhalten die Angreifer eine Provision, insgesamt sollen sie rund 300.000 Euro pro Monat mit dieser Masche ergaunert haben. Anscheinend kam ihnen entgegen, dass auch die Kontrollmechanismen der Werbenetzwerke nicht in der Lage sind, diese nur vorgetäuschten Klicks zu identifizieren.
Abgesehen vom aus diesem Verhalten resultierenden Datenvolumen ist den Nutzern der Smartphones kein Schaden entstanden, zu den Geschädigten zählen die Werbetreibenden.
Als Anbieter der unter dem Label “Judy” verbreiteten Malware wurde ein angeblich in Südkorea beheimatetes Unternehmen namens Enistudio identifiziert, das auch im Apple App Store Apps für iOS anbietet und andernorts unter den Namen Kiniwini firmiert. Ob die beiden Unternehmen tatsächlich existieren ist noch ungeklärt.
Unklar ist auch, wie lange diese Masche bereits andauert. Da einige der Apps bereits seit mehreren Jahren im Play Store angeboten werden, könnte es sich um eine langfristig geplante Attacke handeln. Denkbar wäre aber auch, dass ein zuvor seriöses Unternehmen die Rechte und Zugangsdaten für die Apps an jemand anderen abgetreten hat, der dann die entsprechenden Schadfunktionen nachgerüstet hat. Eine solche Gefahr besteht auch bei Browser-Erweiterungen, die – einmal installiert und mit den entsprechenden Rechten versehen – vom Nutzer unbemerkt plötzlich von einem anderen Inhaber betrieben werden können.
Weiterlesen:
Klickbetrug: Riesiges Bot-Netzwerk macht $5 Millionen Dollar pro Tag
Google hat die infizierten Apps bereits aus dem Play Store entfernt, was aber nur ein schwacher Trost ist. Auf Smartphones von Nutzern, auf denen die Apps bereits installiert sind, ist die Software weiterhin im Einsatz, eine Fernabschaltung o.ä. gibt es nicht. Mit der neuen App Google Play Protect will das Unternehmen in Kürze selbst einen Virenscanner für Smartphones anbieten.