Betrügerische Android-Apps mit aggressiver Werbung wurden bereits 60 Millionen Mal aus dem Google Play Store heruntergeladen

Hunderte von Android-Apps schalten unpassende Werbung und versuchen, Nutzer dazu zu bringen, ihre Anmeldedaten preiszugeben. Das sogenannte Vapor-Netzwerk wurde vor einigen Wochen erstmals von den Forschern der IAS Threat Labs entdeckt. Ein Bericht von Bitdefender liefert nun weitere Einblicke in die Funktionsweise dieses Netzwerks.

Insgesamt identifizierten die Forscher 331 betrügerische Apps, die legitime Anwendungen wie QR-Scanner, Gesundheits- und Fitness-Tracker sowie Ausgaben-Tracker nachahmen. Einige Apps, wie Aqua Tracker und clickSave Downloader, wurden mehr als eine Million Mal aus dem Play Store heruntergeladen, wodurch die Gesamtzahl der Downloads aller betroffenen Apps über 60 Millionen erreichte.

Die schadhafte Kampagne begann in der zweiten Jahreshälfte und richtete sich vor allem an Nutzer aus Brasilien, den USA und Mexiko. „Dies ist eine laufende Kampagne. Die neueste Malware, die im Google Play Store entdeckt wurde, ging in der ersten Märzwoche 2025 online. Als wir die Untersuchung eine Woche später abschlossen, waren immer noch 15 Apps im Play Store verfügbar“, berichten die Bitdefender-Forscher.

Bösartige Apps tarnen sich in den Einstellungen, um unentdeckt zu bleiben

Einige dieser Apps zeigen erst nach der Installation schädliches Verhalten, wodurch sie die Sicherheitsprüfungen von Google Play umgehen können. Sie nutzen den Android ContentProvider, um sich zunächst Zugang zum System zu verschaffen. Diese Komponente wird direkt nach der Installation aktiviert, noch bevor der Benutzer mit der App interagiert.

Anschließend wird ein Vordergrunddienst gestartet, der für aufdringliche Vollbildanzeigen verwendet wird. Laut Bitdefender finden schadhafte Apps Wege, ihr Symbol zu verbergen, was in Android 12 und neueren Versionen nicht mehr zulässig ist. Es wird vermutet, dass die Malware-Entwickler entweder eine Schwachstelle gefunden oder die API missbraucht haben.

In einigen Fällen wurde beobachtet, dass die Apps versuchten, sich in den Einstellungen zu verstecken, um einer manuellen Entfernung durch den Nutzer zu entkommen. Ein Beispiel dafür ist eine App, die ihren Namen in „Google Voice“ änderte, um wie eine offizielle App auszusehen.

Die meisten untersuchten Apps verwenden spezielle Command-and-Control-Domains und bieten Links an, die auf jedes spezifische Paket zugeschnitten sind.

„Die Malware extrahiert Geräteinformationen mithilfe einer wörterbuchbasierten Struktur, aber die Schlüssel in diesem Wörterbuch sind polymorphe und für jede Anwendung einzigartig. Das bedeutet, dass sich die zum Senden von Daten verwendeten Labels ständig ändern, was die Erkennung und Analyse erschwert“, so die Forscher.

Angreifer versuchen auch, Benutzer mit der Drohung, ihre Geräte seien infiziert, einzuschüchtern, um sie dazu zu bringen, Apps von Drittanbietern zu installieren, die Malware enthalten könnten.

Laut Bitdefender ist die Kampagne entweder das Werk einer kriminellen Gruppe oder mehrerer Cyberkrimineller, die dasselbe auf dem Schwarzmarkt erhältliche Verpackungstool verwenden.

Um nicht entdeckt zu werden, haben die Vapor-Apps mehrere Entwicklerkonten erstellt, auf denen jeweils nur eine Handvoll Apps zum Verteilen gehostet wurden.

Bild/Quelle: https://depositphotos.com/de/home.html