Gekaperte Apps?
Insgesamt stammen die betroffenen Apps von gerade einmal sieben Entwicklern, die nach den ersten Recherchen allesamt aus Indonesien stammen oder mit indonesischen Webseiten in Verbindung stehen. Einige sind schon so lange nicht mehr gewartet, dass sie wahrscheinlich mittlerweile unabsichtlich auf Webseiten verweisen, die schon seit vier Jahren offline sind, schreibt Palo Alto Networks. So könnte es sein, dass die eigentlichen App-Entwickler gar nichts davon mitbekommen, was mit ihren Apps derzeit läuft.Weit verbreitet sind die Apps dazu nicht. Die am häufigsten geladene App zeigt gerade einmal 10.000 Installationen an.
Schadcode-verseucht
Laut Palo Alto Networks verlinken die Apps über versteckte iFrames auf Webseiten, die Schadecode-verseucht sind. Das waren vorrangig www[.]Brenz[.]pl/rc/und jL[.]chura[.]pl/rc/. Die App-Entwickler sind aller Wahrscheinlichkeit nach selbst Opfer dieser Manipulation. Gekaperte Apps zur Verteilung von Malware sind nichts Neues, nur haben sich dieses Mal die Angreifer selbst ausgesperrt, da sie mit ihrem Schadcode auf das falsche Betriebssystem aus sind. Versuche, andere Betriebssysteme beziehungsweise auf andere OS abgestimmte Apps als Träger für Schadprogramme zu nutzen, ist ebenfalls eine schon dokumentierte Methode. Ob die Angreifer das System weiterentwickelt und für ihre Zwecke nutzbar gemacht haben, ist derzeit unbekannt.Nach der Entdeckung der Manipulation wurden die Apps an das Google Security Team gemeldet. Dort handelte man schnell und untersuchte zunächst, welche Apps das entdeckte Prinzip nutzen. Anschließend wurden alle betroffenen Apps aufgespürt und entfernt.
Mehr dazu: HummingWhale: Android-Malware verdient gut und wurde neu gemacht