![](\"https:\/\/sophos.files.wordpress.com\/2019\/10\/play-market.jpg\"\/)
<\/p>\nApp-Entwickler betten seit Jahren sogenannte Ad-Codes in ihre Apps ein, um die Entwicklungskosten zu decken. Einige Anbieter nutzen ihre Programme aber einfach nur als Plattform, um Anzeigen auf mobile Ger\u00e4te zu schalten. Die SophosLabs haben k\u00fcrzlich 15 solcher Apps bei Google Play entdeckt. Die Apps erzeugen dabei h\u00e4ufig auftretende, gro\u00dfe und aufdringliche Anzeigen. Dabei verstecken sie ihre App-Icons im Launcher, um es Anwendern schwer zu machen, sie zu finden und zu entfernen. Einige von ihnen gehen sogar noch einen Schritt weiter, indem sie sich auf der App-Einstellungsseite des Smartphones verstecken. Mittlerweile haben weltweit mehr als 1,3 Millionen Ger\u00e4te mindestens eine dieser aufdringlichen Apps installiert.<\/p>\n
Die Entwickler nutzen dabei unterschiedliche Ans\u00e4tze. So bedient sich die App “free.calls.messages” (Flash On Calls & Messages – auch bekannt als Free Calls & Messages) einiger Tricks, um zu verhindern, dass Benutzer die App deinstallieren. Beim ersten Start zeigt die App eine Meldung mit der Aufschrift \u201eDiese App ist mit Ihrem Ger\u00e4t nicht kompatibel” an. Anwender k\u00f6nnten denken, dass die App abgest\u00fcrzt ist, denn nach diesem \u201eAbsturz” \u00f6ffnet die App den Play Store und navigiert zur Google Maps-Seite. Der Anwender meint dann irrt\u00fcmlich, dass die Maps App die Ursache des Problems ist. Das ist sie aber nicht. Die App verbirgt ihr eigenes Symbol, so dass sie nicht in der App-Tray des Launchers erscheint.<\/p>\n
Die SophosLabs haben auch beobachtet, dass Name und Symbole der Anwendung, die auf der Einstellungsseite der Apps auf dem Smartphone zu sehen sind, oftmals nicht mit der Funktion \u00fcbereinstimmen. Neun von 15 Apps verwendeten irref\u00fchrende Applikationssymbole und -namen, von denen die meisten ausgew\u00e4hlt zu sein scheinen, weil sie plausibel einer harmlosen System-App \u00e4hneln k\u00f6nnten. Indem bei diesen Apps das Launcher-Symbol ausgeblendet ist und ein Anwendungssymbol und ein Name verwendet wird, der einer Systemanwendung \u00e4hnelt, liefern diese Anwendungen dem Anwender ein \u00fcberzeugendes Argument daf\u00fcr, dass auf dem Telefon nichts Ungew\u00f6hnliches installiert ist.<\/p>\n
Andere Apps verwenden eine Bibliothek namens “koolib”, die einen Dienst installiert, um das Symbol nach einer bestimmten Zeit nach der Installation auszublenden. Die meisten dieser Apps wurden dem Benutzer als Utility-App pr\u00e4sentiert, wie z.B. QR-Code-Leser, Bildbearbeitungsprogramme oder ein Telefonfinder. Die Apps tarnen sich au\u00dferdem mit einem Namen, der eine harmlose App darstellt, wie z.B. Google Play Store, Update, Backup oder Time Zone Service. Diese Namen werden nur in den Einstellungen des Telefons angezeigt.<\/p>\n
All diese Apps erschienen in diesem Jahr. Die \u00e4lteste von ihnen, “free.calls.messages”, wurde im Januar ver\u00f6ffentlicht; zwei Monate nach ihrem Erscheinen hatte sie mehr als eine Million Installationen. Obwohl diese Apps von verschiedenen Publisher-Accounts hochgeladen wurden, teilten viele eine \u00e4hnliche Code-Struktur, Benutzeroberfl\u00e4che, Paketnamen und Verhalten \u2013 zu viele Geminsamkeiten, als dass es ein Zufall sein k\u00f6nnte. So enthielt beispielsweise die App “com.cc.image.editor” einen Verweis auf die App “com.bb.image.editor” innerhalb ihres Codes. Die beiden Apps wurden allerdings trotz der \u00e4hnlichen Namen von v\u00f6llig unterschiedlichen Unternehmen ver\u00f6ffentlicht. Das deutet darauf hin, dass erstere von letzteren abgeleitet worden sein k\u00f6nnte \u2013 dennoch l\u00e4\u00dft sich nicht definitiv sagen, dass derselbe Autor beide Apps entwickelt hat.<\/p>\n
Smartphone-Nutzer sollten vor der Installation von Apps aus Google Play genau auf die Bewertungen der Benutzer achten. Zudem sollten sie nicht die erste Person sein, die eine brandneue App ausprobiert. Die SophosLabs haben Google im Juli \u00fcber diese Apps informiert und soweit bekannt, wurden sie entfernt. Diese Apps werden von Sophos Mobile Security als Andr\/Hiddad-AB und Andr\/Hiddad-AC erkannt.<\/p>\n
Die komplette Liste der fiesen Werbeapps gibt es bei den Kollegen von Sophos Uncut (am Artikelende): https:\/\/news.sophos.com\/en-us\/2019\/10\/08\/icon-hiding-android-adware-returns-to-the-play-market\/<\/a><\/p>\n<\/p><\/div>\n