Technik

Malware klickt Werbung an "Judy" befällt Millionen Smartphones

judy malware app.png

Viele der "Judy"-Apps haben im Play Store gute Bewertungen erhalten.

(Foto: Checkpoint)

Monatelang gelingt es Betrügern, über den Play Store Apps zu verbreiten, die heimlich Werbung anklicken. Insgesamt könnte die Malware "Judy" bis zu 36,5 Millionen Android-Smartphones befallen haben. Google reagiert.

Eigentlich verhindern Sicherheitsmaßnahmen, dass bösartige Apps den Weg in den Play Store finden. Doch das Abwehrsystem hat eine entscheidende Schwäche: Googles Türsteher können ausgetrickst werden, indem zunächst völlig harmlose Anwendungen erst Malware nachladen, nachdem sie auf einem Gerät installiert wurden. Sicherheitsforscher von Checkpoint haben jetzt einen Fall aufgedeckt, bei dem auf diese Weise viele Millionen Android-Geräte befallen wurden. Möglicherweise sei dies die bisher größte aufgedeckte Android-Malware-Kampagne, heißt es in einem Blogeintrag.

Der "Judy" getaufte Schädling klickt heimlich Werbung an, wofür seine Auftraggeber Provision kassieren. Eingeschmuggelt wird die Malware über 41 Apps der südkoreanischen Firma Kiniwini, die im Play Store als Enistudio registriert ist. Die Anwendungen sind in den meisten Fällen Koch- oder Modespiele, deren Protagonistin "Judy" heißt. Es gibt sie auch in iTunes, hier ist aber bisher kein Missbrauch bekannt.

Lange Zeit nicht bemerkt

Einige der Anwendungen befinden sich bereits seit einigen Jahren im Play Store. Wie lange sie schon Schadcode nachladen, sei zwar nicht festzustellen, schreibt Checkpoint, aber alle "Judy"-Apps seien kürzlich aktualisiert worden. Zusammen seien sie insgesamt 4,5 bis 18,5 Millionen Mal heruntergeladen worden, so die Sicherheitsforscher.

Checkpoint hat auch Anwendungen anderer Entwickler gefunden, die ebenfalls die Malware enthielten. Die Verbindung sei unklar, möglicherweise hätten die Angreifer - absichtlich oder unabsichtlich - Code ausgetauscht. Hier hat die älteste App im April 2016 zuletzt ein Update erhalten. Das bedeute, die Malware treibe schon seit Langem ihr Unwesen im Play Store, schreibt Checkpoint. Die Download-Zahlen der zweiten Malware-Kampagne bewegten sich zwischen 4 und 18 Millionen, weswegen insgesamt bis zu 36,5 Millionen Android-Geräte betroffen sein könnten. Durch die große Verbreitung seien die Einnahmen der Angreifer enorm.

Google Play Protect soll schützen

Google hat inzwischen reagiert und die "Judy"-Apps aus dem Play Store entfernt. Um Nutzer vor Anwendungen dieser Art zu schützen, scannen neuere Android-Versionen auch installierte Apps und das System regelmäßig nach Bedrohungen. Sogenannte Antivirus-Apps von Drittanbietern haben diese Möglichkeit nicht, da sie nicht die nötigen Berechtigungen einfordern dürfen.

Um die Funktion zu verbessern und für den Nutzer transparenter zu machen, hat Google kürzlich Google Play Protect vorgestellt. In der App werden alle Sicherheitsfunktionen gebündelt. Dazu gehören die Suche nach verlorenen oder gestohlenen Geräten und Safe Browsing. Warum Googles Scanner die "Judy"-Apps nicht als schädlich erkannt haben, ist nicht bekannt. Möglicherweise erfassen sie Werbe-Klicks nicht, solange sie sich in einem gewissen Rahmen halten.

Quelle: ntv.de, kwe