Von harmlosen Apps zu versteckten Werbefarmen

Adware-Kampagne „GhostAd“ im Google Play Store

Google, google play store apps, Play Store, Google Play Store
Bildquelle: In Green / Shutterstock.com
LinkedInRedditWhatsApp

Check Point Software hat eine umfangreiche Adware-Kampagne im Google Play Store entdeckt. Unter dem Tarnmantel von Cleanup- und Emoji-Apps verbreiteten mehr als 15 Anwendungen die Adware „GhostAd“.

Die Apps führten dauerhafte Werbeschleifen im Hintergrund aus, die auch nach einem Neustart der Geräte weiterliefen und sowohl Akku als auch Datenvolumen stark beanspruchten.

Anzeige

GhostAd verwandelte die Smartphones von Nutzern in gewinnbringende Werbefarmen für die Täter. Einige der Apps wurden millionenfach heruntergeladen. Eine Emoji-App erreichte sogar Platz zwei in der Kategorie „Top Free Tools“ bei Google Play. Etwa 75 % der betroffenen Nutzer stammen aus Ost- und Südostasien, darunter die Philippinen, Pakistan und Malaysia, ein kleinerer Teil aus Europa, Afrika und Israel. Check Point geht von keiner gezielten Kampagne aus, sondern von der breiten Verbreitung der Apps.

Technik hinter GhostAd

Die Adware setzt auf drei Kernmechanismen, um dauerhaft aktiv zu bleiben:

  • Persistente Ausführung: GhostAd registriert einen Vordergrunddienst, der auch nach Schließen der App oder Neustart des Geräts weiterläuft. Die Apps zeigen dabei nur eine leere Benachrichtigung an, wodurch die Hintergrundaktivität für den Nutzer unsichtbar bleibt.
  • JobScheduler: Über einen Task-Manager werden Anzeigenanfragen in Sekundentakt erneut ausgelöst. Selbst wenn das System den Dienst beendet, startet er automatisch neu.
  • Endlose Werbeschleifen: Die Apps nutzen legale Werbe-SDKs wie Pangle, Vungle oder AppLovin, um kontinuierlich Anzeigen im Hintergrund zu laden. Dies führt zu einer permanenten Belastung der Hardware und steigert den Datenverbrauch.

Obwohl GhostAd nicht klassisch als Malware gilt, kann die Adware sensible Daten auslesen, die auf dem Gerät gespeichert sind. Dokumente, Screenshots, exportierte Chats oder Unternehmensinformationen können exfiltriert werden, ohne dass der Nutzer es bemerkt. Gerade bei dienstlich genutzten Geräten erhöht dies die Gefahr von Datendiebstahl erheblich.

Anzeige
files images Check Point Abbildung 1 Adware in Google Play Ranglisten Quelle Check Point Software Technologies Ltd

Abbildung: Links: Screenshot der „Top Free Tools Apps“ Rangliste in Google Play. Auf Platz zwei steht besagte Adware-App „GenMoji Studio“. Rechts: Listung der App in der Google Play-Suche (Quelle: Check Point Software Technologies Ltd.)

So schützen sich Nutzer

  • Keine Apps mit unklaren Namen oder übermäßigen Berechtigungen installieren.
  • Bewertungen im Play Store prüfen, insbesondere Warnungen vor unerwünschtem Verhalten beachten.
  • Leere oder persistente Benachrichtigungen auf dem Gerät ernst nehmen.
  • Regelmäßig unbekannte Apps auf dem Gerät identifizieren und deinstallieren.

Die GhostAd-Kampagne zeigt, wie sich scheinbar harmlose Anwendungen in gefährliche Hintertürsysteme verwandeln können. Selbst legitime Werbe-Tools lassen sich missbrauchen, um Nutzergeräte auszubeuten und persönliche Daten zu sammeln. Check Point betont, dass Nutzer und Unternehmen wachsam bleiben müssen, um den Missbrauch von Apps und SDKs frühzeitig zu erkennen und zu verhindern.


Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig joined the IT Verlag team as an online editor in May 2020. (pd)
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Dark Web: Reverse Engineers verdienen über 5.000 Dollar
Deepfakes erkennen, bevor sie Schaden anrichten
DragonForce Ransomware: Wer steckt dahinter?
Wie ASM zur Lieferkettenresilienz beiträgt
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.