Code manipuliert

Beliebte App nach Update plötzlich „bösartig“

Mit mehr als zehn Millionen Downloads gehörte der „Barcode Scanner“ von Lavabird jahrelang zu den beliebteren Scanner-Apps im Google Play Store - bis im vergangenen Dezember plötzlich viele Nutzer über unaufgeforderte, aggressive Werbeanzeigen in ihrem Browser klagten. Wie der IT-Sicherheitsanbieter Malwarebytes nun herausfand, zeichnete ein Update dafür verantwortlich, dass sich die bislang harmlose App in gefährliche Adware verwandelte.

Die meisten kostenlosen Apps auf Google Play enthielten eine Art von In-App-Werbung, erläutert Malwarebytes in einem Blogeintrag. In der Regel fügten Entwickler am Ende der Entwicklung der App in deren Programmcode ein sogenanntes Anzeigen-SDK (Software Development Kit, Anm.) ein. Bei kostenpflichtigen Versionen sei dieses einfach nicht enthalten. Diese Anzeigen-SDKs könnten von verschiedenen Drittanbietern stammen und stellten eine Einnahmequelle für den App-Entwickler dar. Es sei eine Win-Win-Situation für alle, so Malwarebytes: „Die Benutzer erhalten eine kostenlose App, während die App-Entwickler und die Entwickler der Anzeigen-SDKs bezahlt werden.“

Entwickler änderten heimlich Programmcode
Hin und wieder könnten die Drittanbieter an ihrer Anzeigen-SDK jedoch etwas ändern, woraufhin die Werbeanzeigen aggressiver würden und daher nicht selten sogar in der Kategorie Adware, also schädliche Werbung, landeten. In diesem Fall, so die IT-Experten, sei das nicht das Werk der App-Entwickler, sondern das des SDK-Anbieters. Anders jedoch beim „Barcode Scanner“ von Lavabird: Laut Malwarebytes wurde der App vom Entwickler selbst bösartiger Programmcode hinzugefügt, der in früheren Versionen nicht enthalten war. Außerdem sei der hinzugefügte Code stark verschleiert worden, um eine Erkennung durch Google zu vermeiden, so das Unternehmen.

„Bösartiges Verhalten“
Die Folge: Die jahrelang harmlose App legte plötzlich ein „bösartiges Verhalten“ an den Tag und überflutete Nutzer mit aggressiver Werbung, wie ein Video des IT-Sicherheitsspezialisten zeigt (siehe oben). Auf Anraten von Malwarebytes hat Google den Barcode-Scanner inzwischen aus dem Play Store entfernt. Nutzer, die die Anwendung noch auf ihrem Smartphone installiert haben, müssen diese trotzdem noch selbst deinstallieren, um die unerwünschten Werbeanzeigen zu unterdrücken.

Motiv unklar
Malwarebytes findet es laut eigenen Angaben „erschreckend“, dass sich eine beliebte App mit nur einem Update in eine bösartige Anwendung verwandeln kann. Für die IT-Spezialisten sei es ein Rätsel, weshalb ein Entwickler dies tun würde. „War das die ganze Zeit der Plan, eine App schlummern zu lassen und darauf zu warten, dass sie zuschlägt, nachdem sie populär geworden ist? Ich schätze, wir werden es nie erfahren“, so Malwarebytes-Analyst Nathan Collier.