Das könnte Sie auch interessieren:

Erste Bilder des neuen Ford Focus ST Turnier

Köln (ots) - - Neues, bis zu 206 kW (280 PS) starkes Sportmodell der Ford Focus-Baureihe debütiert auch ...

"Guides sind geil": Tutorial-Ausgabe von treibstoff - dem Magazin von news aktuell

Hamburg (ots) - Von Social-Media-Planung bis zum Fotografen-Briefing: In der neuen Ausgabe von treibstoff ...

Frauen ist Karriere wichtiger als Männern

Hamburg (ots) - Karriere machen ist den weiblichen PR-Profis wichtiger als ihren männlichen Kollegen. Das ...

Alle Meldungen
Abonnieren Sie alle Meldungen von Avast

23.04.2019 – 14:29

Avast

Media Alert: Avast identifiziert Adware im Google Play Store mit über 20 Millionen Installationen

Avast identifiziert Adware im Google Play Store

Aggressive Werbung in Lifestyle-Apps mit über 30 Millionen Installationen

München, 23. April 2019 - Avast (LSE:AVST), der weltweit führende Anbieter von digitalen Sicherheitsprodukten, hat mit der Mobile Threat Intelligence-Plattform apklab.io 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten.

Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen. Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

Die Ursprünge

Mit apklab.io fand Avast zwei Versionen von TsSdk, die den gleichen Code teilen. Namensgebend ist der Begriff TsSdk, der in der ersten Version der Adware gefunden wurde. Diese wurde 3,6 Millionen Mal installiert und ist in einfachen Spiel-, Fitness- und Fotobearbeitungsanwendungen enthalten. Die betroffenen Apps sind besonders in Indien, Indonesien, den Philippinen, Pakistan, Bangladesch und Nepal beliebt.

Nach der Installation scheinen die meisten der Apps mit der ersten Version normal zu funktionieren. Allerdings erscheinen darüber hinaus Werbeanzeigen im Vollbild, sobald der Bildschirm aktiviert wird. Gelegentlich tauchen die Anzeigen sogar regelmäßig während der Benutzung auf. In einigen Fällen haben die Apps sogar die Möglichkeit, weitere Anwendungen herunterzuladen. Der Nutzer wird dann aufgefordert, diese zu installieren. Zusätzlich legen die meisten älteren Varianten auch eine Verknüpfung zu einem "Game Center" auf dem Startbildschirm des infizierten Geräts an. Dieser Link öffnet die Seite von H5 Games, die für verschiedene Spiele wirbt. Der Name "H5GameCenter" ist bereits von der vorinstallierten Malware von Cosiloon bekannt, über die Avast im vergangenen Jahr berichtet hat. Die Forscher können allerdings nicht mit Sicherheit feststellen, ob die beiden miteinander verwandt sind.

Die Aktualisierung des Adware-Codes

Die zweite Version wurde fast 28 Millionen Mal installiert. Darunter fallen besonders Musik- und Fitness-Apps, die oft auf den Philippinen, in Indien, Indonesien, Malaysia, Brasilien und Großbritannien genutzt werden. Der Code wurde mit dem Tencent Packer verschlüsselt, der für Analysten nur schwer zu entpacken ist. Die dynamischen Analysen von apklab.io können ihn aber leicht erfassen.

Bevor die Vollbildanzeige eingesetzt wird, prüft die aktuelle Version mehrere Parameter. Beispielsweise wird die Werbung nur ausgelöst, wenn der Nutzer die App durch Anklicken einer Facebook-Anzeige installiert. Bei der Erkennung hilft eine Facebook-SDK-Funktion namens deferred deep linking.

Die Anzeigen erscheinen innerhalb der ersten vier Stunden nach der Installation konzentriert - danach immer seltener. Aus dem Code wissen die Analysten, dass innerhalb der ersten vier Stunden die Vollbildeinblendungen teils beim Entsperren des Telefons oder alle 15 Minuten angezeigt werden. Nach einer Stunde steigt der Abstand zwischen der unerwünschten Werbung auf 30 Minuten.

Die neuere Version der Adware scheint nicht mit Android 8.0 oder höher zu funktionieren. Der Grund dafür sind Änderungen in der Verwaltung der Hintergrunddienste. Aufgrund der Anzahl der Samples hat Avast nur die neueste Installationsdatei jeder App in seiner Übersicht berücksichtigt.

Viele der älteren Versionen der Adware hat Google bereits aus dem Google Play Store entfernt. Darunter war Pro Piczoo, eine App mit mehr als einer Million Installationen.

Drei Tipps gegen Adware

- Bewertungen lesen. Vor der Installation einer neuen App sollten sowohl 
  positive als auch negative Reviews geprüft werden. Dabei zählen Hinweise auf 
  das Verhalten der App. Kommentare wie "diese App macht nicht, was sie 
  verspricht" oder "diese App ist vollgepackt mit Adware" weisen darauf hin, 
  dass vielleicht etwas nicht stimmt.
- Berechtigungen prüfen. Wenn eine App Berechtigungen anfordert, sollten diese 
  hinterfragt werden. Die Erteilung falscher Berechtigungen kann dazu führen, 
  dass sensible Daten wie Kontakte, Mediendateien und persönliche Chats an 
  Cyberkriminelle gesendet werden. Wenn eine Anfrage ungewöhnlich erscheint oder
  über das Angemessene hinausgeht, sollte die App vermieden werden.
- Antivirenschutz installieren. Eine vertrauenswürdige Antivirenlösung sollte 
  auch auf Smartphones eingesetzt werden. Sicherheits-Apps schützen den Benutzer
  vor unerwünschten Apps und identifizieren Adware bevor sie aktiv werden 
  können. 

Weitere Informationen:

Screenshots aus dem Google Play Store und den Facebook-Seiten sowie eine Übersicht der Betroffenen Apps sind hier verfügbar: https://drive.google.com/open?id=1b7lMNe1vIen5lO2A_sOnpbEqKB_guA7-

Über Avast
Avast (LSE:AVST) ist ein weltweit führender Hersteller von digitalen
Sicherheitsprodukten und schützt über 400 Millionen Menschen online. Avast
bietet Produkte unter den Marken Avast und AVG an, die Endanwender und
Unternehmen mit einem der fortschrittlichsten Netzwerke zur Bedrohungserkennung
weltweit vor Internetgefahren schützen. Dazu zählt auch der Schutz vor
zunehmenden Gefahren für - und durch - das Internet der Dinge. Avast setzt
maschinelle Lernverfahren und künstliche Intelligenz ein, um Bedrohungen in
Echtzeit zu erkennen und stoppen. Die digitalen Sicherheitslösungen von Avast
für mobile Geräte, PCs oder Macs sind ausgezeichnet und zertifiziert von VB100,
AV-Comparatives, AV-Test, OPSWAT, West Coast Labs und vielen mehr. Avast wird
von den weltweit führenden Private-Equity-Firmen CVC Capital Partners und Summit
Partners unterstützt. www.avast.com

Pressekontakt 
Akima Media 
Garmischer Str. 8 
80339 München

Barbara Schrettle / Katharina Söltenfuß
Telefon +49 89 1795918-0

E-Mail avast@akima.de 
Web www.akima.de 

Alle Meldungen
Abonnieren Sie alle Meldungen von Avast
  • Druckversion
  • PDF-Version