Die Adware LightsOut versteckt sich in Taschenlampen-Apps und anderen angeblich nützlichen Werkzeugen

-Produktempfehlung: Kaspersky lab-

Wie ZDNet berichtet, konnten die Forscher von Check Point Research nicht nur die Porno-Malware AdultSwine aufdecken, sondern auch 22 Apps, die mit der Adware LightsOut verseucht waren.

Mindestens 1,5 Millionen Nutzer haben sich die betroffenen Apps über den Google Play Store auf ihr mobiles Gerät geholt.

Die Schadware blendet widerholt unerwünschte Pop-Up-Anzeigen ein und generiert so Werbeeinahmen. Dabei wird mit fiesen Tricks gearbeitet.

Führt der Betroffene zum Beispiel gerade ein Telefonat, wird die Anzeige aufs Display geschleust, sodass die Beendigung des Anrufs nur durch einen Klick auf die Anzeige möglich wird.

Aber auch beim Laden des Geräts sowie beim Sperren des Bildschirms verärgerte die Werbung die Nutzer.

Um sich einer Entdeckung und Löschung zu entziehen, wurde bei der Installation der Taschenlampen-Apps lediglich der Schadcode von LightsOut extrahiert und eingerichtet.

Die Schadware löschte zuerst das Symbol der App aus dem App Drawer, danach bot er an, keine Werbung anzuzeigen.

Jedoch wurden Nutzer, die sich gegen Werbeeinblendungen entschieden, ebenfalls mit unerwünschter Werbung belästigt.

Check Point geht davon aus, dass die Hintermänner der Adware das Einblenden der Werbung mit diesen Aktionen verbunden haben, um von den zuvor installierten Taschenlampen-Apps als Auslöser abzulenken.

Betrüger verwenden verschiedene Techniken

Die Forscher von Check Point gehen von verschiedenen Techniken aus, um die Schutzfunktion des Play Stores auszutricksen.

„Eine ist der Upload einer harmlosen ‚Brückenkopf-App‘ ohne schädliche Funktionen. Erst nachdem die App auf einem echten Gerät installiert wurde, bezieht sie die gefährlichen Komponenten von einem Befehlsserver. Darüber hinaus nutzten gefährliche Apps vorsätzlich Techniken, um die Ausführung der schädlichen Aktivitäten zu verzögern und so den virtuellen Kontrollen von Google zu entgehen. Google prüft Apps nur über einen kurzen Zeitraum, was bedeutet, dass ihnen einige schädliche Aktionen der Malware entgehen können“,

Bin ich betroffen?

LightsOut versteckte sich unter anderem in folgenden Apps:

  • Smart Flashlight
  • Cool Flashlight
  • Flashlight Pro
  • Network Guard
  • Realtime Cleaner
  • Call Recorder Pro

Google entfernte insgesamt 22 von Check Point gemeldete Apps aus dem Play Store.

Was kann ich tun?

Hat man eine betroffene App bereits installiert, kann man sich trotzdem helfen.

Das Bundesamt für Sicherheit in der Informationstechnik stellt folgende Strategie gegen Schadprogramme vor:

Säuberung des Systems

Die Säuberung des Gerätes erfolgt in mehreren Stufen.

  1. Identifikation der Ursache
  2. Entfernung des verantwortlichen Programms.

Leider ist es nicht möglich eine einfache Vorgehensweise vorzugeben, die das Problem sicher löst. Ein offensichtlicher Zusammenhang zwischen einer kürzlich installierten App und einem Fehlverhalten ist meist nicht herzustellen. Zudem kann die Ursache „tiefer“ liegen, das heißt, ein Schadprogramm hat sich jenseits von App-Grenzen in das System eingenistet. Eine Säuberung des Systems ist dann oft auch mit Datenverlusten verbunden.

Je nach Schweregrad des Problems kann man folgendermaßen vorgehen:

  • Verdächtige App löschen
    Ist ein Zusammenhang zwischen einer kürzlich installierten App und einem Fehlverhalten des Gerätes offensichtlich, sollte man die entsprechende App vom Gerät löschen.
  • Virenscanner-App installieren
    Bei Bedarf verschiedene Apps nacheinander installieren und das System durchsuchen. Eine Übersicht über die verfügbaren Apps bietet das Prüflabor AV-Test
  • Abgesicherter Modus
    Im sogenannten abgesicherten Modus startet das Gerät keine Dritt-Anbieter Apps, sondern nur die im Auslieferungszustand vorhanden nativen Apps. In diesem Zustand kann der Nutzer feststellen, ob das Problem durch eine zusätzlich installierte App hervorgerufen wird oder sich im Betriebssystem befindet.
    Außerdem können im abgesicherten Modus Apps deinstalliert werden, die sich vorher nicht entfernen ließen.
    Wie man den abgesicherten Modus startet, hängt vom Hersteller / Gerätetyp ab. Hinweise dazu stehen in der Gerätedokumentation oder werden auf einschlägigen Internetseiten gegeben (z. B. auf der Seite von chip digital). Beim nächsten Gerätestart bootet das Gerät wieder in den Normalzustand.
  • Zurücksetzen auf Werkseinstellungen
    Lässt sich das Problem mit den vorgenannten Schritten nicht beheben kann man das Gerät in den Auslieferungszustand zurückversetzen. Achtung: ALLE Daten werden dabei gelöscht.
    Beispiele: Kontoeinstellungen und Passwörter, Anwendungsdaten, Musik, Fotos, Schlüsselmaterial der SD-Kartenverschlüsselung sowie alle selbst installierten Apps. (Menü: Einstellungen – Sichern & zurücksetzen)
  • USB-Debugging
    Eine Kontrollmöglichkeit für fortgeschrittene Benutzer ist das USB-Debugging. Android-Geräte können über den USB-Anschluss mit einem PC verbunden und von dort kontrolliert werden. Vorher muss das Gerät allerdings in den sogenannten Entwickler-Modus geschaltet werden. Die Aktivierung des Entwickler-Modus ist je nach Hersteller / Gerätetyp unterschiedlich. Hinweise dazu stehen in der Gerätedokumentation oder werden auf einschlägigen Internetseiten gegeben. Zu beachten ist, dass der Entwickler-Modus zwar eingeschaltet, jedoch nicht wieder ausgeschaltet werden kann.
    Über die USB-Debugging Schnittstelle können mithilfe der sogenannten ADB(Android Debug Bridge)-Tools verschiedenste Kommandos ausgeführt werden, beispielsweise das Kommando „adb uninstall <PaketName>“ oder „adb shell pm uninstall <PaketName>“ zur Deinstallation eines Programms. Wenn der vollständige PaketName nicht bekannt ist, kann dieser in der adb shell mit
    pm list packages | grep „Name der App/Hersteller der App“ ermittelt werden.
  • Recovery Mode (Wiederherstellungsmodus)
    Dieser Modus ist im Prinzip ein von Android getrenntes Mini-Betriebssystem mit dem man verschiedene Aktionen auf dem Android-Smartphone ausführen kann. Dazu zählt die Installation eines Updates oder eines neuen ROMs (komplettes Android) von der SD-Karte. Auch hier ist der Start in den Recovery Mode hersteller- beziehungsweise geräteabhängig. Die Verwendung des Recovery-Modes sollte nur von erfahrenen Benutzern verwendet werden.
-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal, via Patreon, via Steady