Android-Malware im Store gesperrt? - Neuer Name genügt für Reupload

Bei allen Bestrebungen, die Sicherheitsvorkehrungen auf den eigenen Download-Plattformen zu verbessern, scheitert Google teilweise bei den einfachsten Maßnahmen. Das zeigt sich jetzt an mehreren Apps für Android-Geräte, die zwar gesperrt wurden, anschließend aber quasi unverändert unter neuem Namen wieder Aufnahme fanden. Auf der einen Seite wäre es eigentlich ziemlich einfach, solch ein Problem zu verhindern - beispielsweise durch einen Hash-Abgleich des Codes einer gesperrten App. Auf der anderen Seite scheint das einfache Wiedereinstellen herausgeworfener Anwendungen aber auch dreist genug zu sein, damit niemand wirklich damit rechnete. Auf jeden Fall kratzt die von Symantec beschriebene Sache nach der Angelegenheit mit den Chrome-Erweiterungen weiter am Image der Google-Plattform als sicherer Bezugspunkt für Software.

Die Sicherheitsforscher konnten nach eigenen Angaben immerhin sieben verschiedene Apps ausfindig machen, die es unter neuem Namen und einem neuen Publisher-Account ein weiteres Mal in den offiziellen Play Store für Android geschafft hatten. Der Ursprung scheint im Grunde jedesmal der Gleiche zu sein - die Schadroutinen werden von Symantec allesamt als Android.Reputation.1 in der Datenbank geführt.

Verwunderte Sicherheitsforscher

Eingebettet ist die eigentlich Malware jeweils in diversen kleineren Apps, die nützliche oder unterhaltsame Funktionen versprechen - darunter Emoji-Keyboards, Taschenrechner oder Anruf-Aufnahme-Programme. Keine dieser Applikationen hielt jedoch den versprochenen Funktionsumfang ein.

Die Symantec-Mitarbeiter hatten die jeweiligen Apps ursprünglich selbst an Google gemeldet und erfreut deren zügige Entfernung aus dem Store registriert. Sie wunderten sich dann allerdings, dass bei weiteren betrügerischen Apps dieser Art Kollisionen beim Hash-Abgleich auftauchten. Es stellte sich also heraus, dass hinter dem jeweiligen Namen und dem neuen Icon komplett der gleiche Code wie zuvor zu finden war.