Zwei uralte Smartphones mit iOS und Android
Zwei uralte Smartphones mit iOS und Android
Bildquelle: bloomua, Lizenz

Android und iOS: Adware über 13 Millionen Mal installiert

Sicherheitsforscher haben zahlreiche Android- und iOS-Apps entdeckt, die Millionen von Geräten mit einer Adware infizierten.

Sowohl in Googles Play Store als auch in Apples App Store haben Sicherheitsforscher zahlreiche Apps identifiziert, die ihren Schöpfern mit zusammen über 13 Millionen Installationen auf Android- und iOS-Geräten durch Werbebetrug üppige Einnahmen bescherten.

Dritte Welle trifft zahlreiche Anwendungen unter Android und iOS

Sicherheitsforscher des Satori Threat Intelligence and Research Teams von HUMAN haben zahlreiche mobile Apps identifiziert, die Teil einer „Scylla“ genannten Werbebetrugs-Kampagne sind. Betroffen sind 75 Android-Anwendungen bei Google Play sowie zehn weitere iOS-Anwendungen in Apples App Store. Zusammen kommen diese auf über 13 Millionen Installationen.

Bei Scylla soll es sich um die dritte Welle der Operation „Poseidon“ handeln. Diese hatten die Forscher bereits im August 2019 entdeckt. Die zweite Welle unter dem Namen „Charybdis“ erreichte gegen Ende 2020 ihren Höhepunkt.

Werbeeinblendungen finden oft im Hintergrund statt

Die Sicherheitsexperten fanden heraus, dass 29 Scylla-Apps bis zu 6.000 Connected-TV-basierte Apps imitierten und regelmäßig ihre IDs wechselten, um der Betrugserkennung des Android- oder iOS-Systems zu entgehen. Mitunter werden die Anzeigen in versteckten WebView-Fenstern geladen. Dies läuft vollständig im Hintergrund ab, sodass der Anwender nie etwas Verdächtiges bemerkt. Durch Angriffe auf mehrere Werbe-SDKs können die bösartigen Apps sogar auf die unsichtbare Werbung klicken. Das spült den Entwicklern zusätzliche Einnahmen in die Taschen.

Durch einen „JobScheduler“ löst die Adware mitunter Werbeeinblendungen aus, wenn die Opfer ihre Android- oder iOS-Geräte nicht aktiv verwenden und der Bildschirm ausgeschaltet ist. Im Vergleich zu der ersten Werbebetrugs-Kampagne dieser Operation nutzen die Scylla-Apps zusätzliche Code-Verschleierungsschichten. Dafür kommt beispielsweise der Java-Obfuscator Allatori zum Einsatz, der bestimmte Elemente des Quellcodes ersetzen kann. Dadurch ist dessen Logik anschließend nur noch schwer nachzuvollziehen. Das macht es für Sicherheitsforscher umso schwieriger, die bösartigen Anwendungen zu erkennen und ihre Funktionsweise zu verstehen.

Android- und iOS-Benutzer sollten wachsam bleiben

Die betroffenen Apps haben Google und Apple infolge der Erkenntnisse des Satori Teams bereits aus ihren Stores entfernt. Wer ein Android-Gerät besitzt und das Sicherheitsfeature Play Protect nicht deaktiviert hat, der soll schon vor den Betrügern geschützt sein. Auf Apple-Geräten hingegen müssen die Anwender gegebenenfalls noch selbst Hand anlegen und die betrügerischen Apps entfernen, sofern diese bereits installiert sind.

Ein möglicher Hinweis darauf, dass auf dem eigenen Smartphone eine Adware installiert ist, ist beispielsweise eine schnelle Entladung des Akkus oder ein erhöhter Verbrauch des Datenvolumens. Doch auch wenn plötzlich eine App auf dem Android- oder iOS-Gerät auftaucht, an dessen Installation man sich nicht erinnern kann oder das System völlig unerwartete Werbeeinblendungen anzeigt, lohnt es sich oft, einmal genauer hinzusehen.

Darüber hinaus sind insbesondere ältere Smartphones infolge des eingeschränkten Software-Supports der erhöhten Gefahr ausgesetzt, sich mit einer Schadsoftware zu infizieren.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.