Playstore, Soraka
Playstore, Soraka

Soraka: Bösartiges Werbenetzwerk versteckt sich in Playstore-Apps

Über100 Android-Anwendungen, mit mehr als 4,6 Millionen Downloads sind mit dem Soraka Schadcode infiziert. Noch nicht alle wurden entfernt.

Soraka haben Sicherheitsforscher von WhiteOps die neue Bedrohung aus Googles Play Store getauft. Mehr als 100 Android-Anwendungen, mit zusammen mehr als 4,6 Millionen Downloads sind mit dem Soraka Schadcode infiziert. Einige dieser infizierten Apps sind sogar heute noch im Play Store verfügbar.

 

Infizierte Apps teilweise noch im Playstore

 

Best Fortune Explorer

Dass in Googles Playstore immer mal wieder schädliche Apps auftauchen, ist für uns mittlerweile leider nichts Neues mehr. Auch die Tatsache, dass die sich in den Apps versteckende Schadsoftware meist nicht von Googles stets hochgelobten Play-Protect entdeckt wird, kann uns leider auch schon lange nicht mehr überraschen. Der „Best Fortune Explorer“ ist eine dieser Apps.

SDK
Soraka SDK

Die App wurde am 9. September 2019 im Playstore veröffentlicht und ist bislang die einzige von JavierGentry80 veröffentlichte App. Der „Best Fortune Explorer“ kommt mittlerweile immerhin auf mehr als 170.000 Downloads im Playstore. Sicherheitsforscher haben die App analysiert und raten zur sofortigen Deinstallation.

Soraka SDK: einem bösartigen Werbenetzwerk auf der Spur

Sicherheitsforscher von WhiteOps konnten kürzlich über 100 bösartige Apps mit insgesamt mehr als 4,6 Millionen Downloads im Playstore entdecken. Getarnt als harmlos aussehende Apps, die vorgeben, ihr Vermögen vorhersagen zu können, Selfies zu machen, oder angeblich System-Fehler beseitigen zu können.

OOC-Anzeige (Out-of-Context)

Aber auch einige Spiele-Apps sind dabei, wie wir am Beispiel vom „Best Fortune Explorer“ sehen können. Inna Vasilyeva, eine Analystin für Bedrohungsinformationen bei WhiteOps erklärt: „Der Code verfügt über sehr aggressive Persistenzmechanismen„. Die Sicherheitsforscher stellten zudem fest, dass die Cyberganoven immer mehr Geld investieren, um so immer bessere und auch immer schwerer zu entdeckende Schadcodes entwickeln zu können.

Die mit Schadcode infizierten Apps, verwenden Apps Flyer. Dies ist ein Framework für die mobile Attribution und Marketinganalyse. Apps Flyer ermöglicht es den Apps, einen Hintergrund-Benachrichtigungsdienst zu umgehen, mit dem die Ausführung von Schadcode beim Ausschalten eines Telefons eigentlich verhindert werden soll. Die Cyberganoven schaffen es also, Werbe-Anzeigen so zu planen, dass sie nur Sekunden nach Deaktivierung dieser Android-Sicherung geschaltet werden.

Werbebetrug auf einem neuen Level

Malvertising

Wann immer es möglich ist, versucht der Schadcode die Werbung versteckt im Hintergrund auszuführen. Wir bekommen also oft nicht einmal mit, dass etwas nicht stimmt. Zu den Besonderheiten der Soraka SDK gehören unter anderem:

  • Beim Entsperren des Geräts entfernt der Schadcode den Hintergrund-Benachrichtigungsdienst, der eigentlich alle schädlichen Aktivitäten stoppen soll, während der Telefonbildschirm ausgeschaltet ist.
  • Die erste OOC-Anzeige (Out-of-Context) (siehe Gif oben) wird einige Sekunden nach dem Entsperren des Geräts gerendert.
  • Eine zweite OOC-Anzeige (nicht gezeigt) start, nachdem die erste OOC-Anzeige durch Klicken auf die Home-Schaltfläche der Hardware minimiert wurde.

    Malvertising, Soraka

  • Nach einigen weiteren Aktionen rendert man eine dritte OOC-Anzeige (nicht angezeigt).

Malvertising: Adblocker schützen uns immer noch am besten

Sehr oft bekommt man zu hören, dass man auf der sicheren Seite sei, sofern man die Software aus dem offiziellen Playstore lädt. Oder: „Mit Werbung unterstützen wir doch eigentlich die App-Entwickler„. Aber leider wird gerade Malvertising immer mehr zum Problem. Wir unterstützen nicht nur fleißige App-Entwickler, sondern leider auch Cyberkriminielle, die auf Kosten unserer Akku-Laufzeit oder Geräte-Leistung sehr viel Geld verdienen.

Googles Play-Protect schützt uns leider immer noch nicht wie immer wieder von Google versprochen, zuverlässig vor dieser Art von Schadcode. Zu einfach ist es für die kriminellen Werbe-Netzwerke, die sich hinter diesen cleveren Malvertising Kampagnen, verstecken sich auf unseren Geräten einzuschleichen. Die im Playstore angebotenen „Antivirus-Apps“ sind in den meisten Fällen nutzlos. Bestes Beispiel ist die am Anfang dieses Artikels beschriebene  „Best Fortune Explorer“ App. Die WhiteOps Sicherheits-Experten haben sie als gefährlich eingestuft. Keine der bekannten Sicherheitslösungen entdeckt den wahren Charakter dieser Software. Mehr noch. Die App war heute Morgen immer noch in Googles Playstore verfügbar.

Brain.exe ist leider kein effektiver Rundum-Schutz!

Die oft erwähnte „Brain.exe“ kann uns hier leider auch nicht immer helfen. Sich auf Dritte oder gar auf Google zu verlassen, ist auch nicht zielführend. Digitale Selbstverteidigung sollte daher für uns genauso selbstverständlich sein und zur Gewohnheit werden, wie der Schutz unserer persönlichen Daten im Netz. Sicherlich müssen Entwickler unterstützt werden. Aber wir sollten dabei auch sehr darauf achten, dass diese Unterstützung auch die Richtigen bekommen.

brain.exe
Im Internet das Gehirn einschalten: Brain.exe

Malvertising ist mittlerweile zu einem Milliarden-Geschäft geworden. Die Kriminellen können immer mehr Geld investieren, um neuen Schadcode zu entwickeln. Unverständlich also, warum Google immer wieder versucht die Funktion von Werbeblockern einzuschränken. Zum Wohle seiner Kunden kann es ja fast nicht sein. Klar, Google verdient einen Großteil seines Umsatzes mit Werbung. Aber gerade dann sollte man doch auch Geld in die Hand nehmen, um es in die Sicherheitsforschung zum Schutz der Kunden zu investieren. Leere Worte und falsche Versprechungen der Internet-Giganten helfen uns nicht mehr weiter.

Foto 200degrees, thx!

Tarnkappe.info

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.