Die unabhängige Prüfstelle AV-Comparatives erklärt, dass im Hinblick auf Mobile Security Anwendungen signifikante Unterschiede im gebotenen Schutzgrad bestehen. Selbst die am schlechtesten abschneidenden Apps sind immer noch besser als fragwürdige Anwendungen, die Mobile Security Apps bloß nachahmen und Werbung einblenden. Nun wurden 35 solcher Anwendungen im offiziellen App Store von Android, dem Google Play Store, entdeckt.
Schon seit einigen Jahren fliegen diese Anwendungen unter dem Radar. Google Play Statistiken zeigen ein kumuliertes Installationsminimum von sechs Millionen. Allerdings muss man zugeben, dass es sich dabei nicht nur um echte Installationen handelt. Es ist gängige Praxis, dass Bots den Download-Zähler in die Höhe treiben und hin und wieder positive Kommentare für die Apps hinterlassen, damit deren Rating steigt.
Alle 35 Apps wurden von ESET bei Google gemeldet und letztendlich vom Google Play Store Team entfernt.
Abbildung 1: 35 fragwürdige Apps im Google Play Store
Nicht nur dass die imitierenden Anwendungen die User mit Werbung belästigen, sie bringen auch einige ernsthafte negative Nebeneffekte mit sich. Alle Apps sind wirklich nur sehr primitive Security Checker, die sich auf triviale, in den Code festgeschriebene Regeln verlassen. Es kommt nicht selten vor, dass sie legitime Apps als schädlich einstufen. Insgesamt rufen sie ein falsches Gespür für Sicherheit bei den Anwendern hervor. Echte Gefahren werden nicht erkannt, womit sie ein hohes Risiko bergen.
ESETs Analysen zeigen, dass unter den 35 Apps, nur eine Hand voll wegen ihrer besonderen Features auffallen. Eine Anwendung ist nicht komplett kostenfrei, da sie ein kostenpflichtiges Upgrade anbietet. Einige andere bieten einen primitiven App-Locker, der aber leicht zu umgehen ist. Dann gibt es eine App, die andere der Sorte von vornherein als schädlich einstuft. Zu guter Letzt hat ESET auch eine Anwendung entdeckt, welche sich unerlaubt an der Marke bedient.
Abbildung 2: Eine App stuft andere der Sorte als "hochriskant“ ein.
Abbildung 3: Eine App stuft sich selbst als "hochriskant“ ein.
Abbildung 4: Eine App bietet einen Upgrade-Plan an.
Nachahmen von Security-Features
Um nicht aufzufallen, imitieren die zwielichtigen, Werbung einblendenden, Apps echte Mobile Security Anwendungen. Ihr "Entdeckungsmechanismus“ arbeitet aber nur sehr primitiv und unvollständig. Es ist ein Leichtes, diesen zu umgehen und falsch-positive Ergebnisse hervorzurufen.
Der ESET-Research zu den fragwürdigen Apps zeigt, dass die "Entdeckungsmechanismen“ in vier Kategorien eingeteilt werden können. Die Mechanismen der 35 Apps sind (nahezu) identisch.
-
Package Name Whitelist & Blacklist
Auf der Whitelist tauchen Anwendungen wie die von Facebook, Instagram, LinkedIn, Skype und andere auf. Die "Blacklist“ wartet mit deutlich zu wenig Einträgen auf, um in irgendeiner Weise eine schützende Funktion zu gewährleisten.
Abbildung 5: Whitelist von populären Apps
-
Blacklist aufgrund von Berechtigungen
Alle Anwendungen – auch die legitimen – werden als Risiko eingestuft, wenn einige der notwendigen Berechtigungen auf der Blacklist stehen. Dazu gehören das Senden und Empfangen von SMS, Standortbestimmung, Kamerazugriff und andere.
Abbildung 6: Blacklist aufgrund von Berechtigungen
-
Quellenbezogene Whitelist
Alle Anwendungen die nicht aus dem offiziellen Google Play Store stammen, werden als Risiko eingestuft – selbst solche, die völlig harmlos sind.
-
Blacklisting aufgrund von bestimmten Aktivitäten
Als Risiko werden alle Apps eingestuft, die auf der Blacklist aufgeführte Aktivitäten ausüben. Dazu gehören beispielsweise auch Anwendungspakete, die in einer Anwendung verwendet werden. Diese Pakete können zusätzliche Funktionalitäten (hauptsächlich einige Werbe-Aktivitäten) verwalten.
Generell ist Activity Blacklisting eine gute Maßnahme. Allerdings ist die Ausgestaltung in den fragenwürdigen Apps wenig zufriedenstellend. Beispielsweise sind Google Ads in der Blacklist aufgeführt, obwohl es sich um keinen riskanten Dienst handelt. Diese Art von Blacklist haben wir in allen zwielichtigen Apps gefunden.
Abbildung 7: Activity Blacklisting
Zusätzliche "Sicherheitsfunktionen"
Ein paar der analysierten Android-Anwendungen bieten dem User die Option, andere Anwendungen durch ein Passwort oder ein Muster extra zu sichern. Die Idee, dem Anwender durch ein zusätzliches Feature eine weitere Schutzmöglichkeit zu gewährleisten ist sehr gut.
Allerdings ist die Implementierung dieses Features in den fragwürdigen Apps wenig befriedigend. Eine weitere echte Schutzschicht wird nicht geboten.
Das Problem: Relevante Informationen werden nicht sicher auf dem Android-Endgerät gespeichert. Statt Verschlüsselungsmechanismen – welche in der Cybersecurity Standard sind – werden einfach die Namen der "extra gesicherten" Apps und die Passwörter zum entsperren in Klartext im Endgerät abgelegt.
Durch root-Zugriff können die Daten ganz einfach ausgelesen werden. Neben dem Rooten des Android-Geräts gibt es aber auch noch eine andere Möglichkeit, die App-Lock zu umgehen. Ein Angreifer mit physischen Zugang zum Gerät kann ganz einfach das Passwort ändern – ohne das alte zu wissen.
Abbildung 8: Auslesen der User-Daten und des Passworts in Klartext
Fazit
Eine verlässliche Mobile Security Lösung für das Android-Endgerät ist zu empfehlen. Allerdings sind nicht alle Anwendungen echte Antiviren-Programme oder bieten den versprochenen Schutz. Vor der Installation einer Mobile Security Anwendung sollte man sich immer die Frage stellen, in wie weit der App zu vertrauen ist.
Die von ESET entdeckten und hier beschriebenen Anwendungen sind keineswegs Ransomware oder hardcore Malware. Sie nerven lediglich mit unerwünschten Werbeeinblendungen. Ein Schaden kann durch falsch-positive Erkennungen hervorgerufen werden oder durch das falsch vermittelte Sicherheitsgefühl. Hinter den unbedachten Millionen-fachen Downloads hätte auch echte Malware verborgen sein können.
Anstelle von zwielichtigen Apps mit auffallenden Namen und Icons, welche zudem verrückte Versprechungen machen, sollte man nach seriösen Mobile Security Sicherheitslösungen suchen. Dabei helfen unabhängige Prüfstellen wie beispielsweise av-comparatives.org.
IoCs
ESET Erkennungsname:
Android/Blacklister.A - Potentielle unerwünschte Anwendung
| App Name | Package Name | Installs |
|---|---|---|
| Virus Cleaner Antivirus 2017 - Clean Virus Booster | com.sta.viruscleaner.antivirus | 1,000,000+ |
| Super Antivirus & Virus Cleaner (Applock, Cleaner) | com.superantivirus.mobilesecurity | 1,000,000+ |
| hAntivirus - Security | com.noah.antivirus | 1,000,000+ |
| Antivirus Security free | com.xplusapps.antivirus.free | 500,000+ |
| Antivirus 2018 | com.gotechgo.antivirus.mobilesecurity2018 | 500,000+ |
| Antivirus Clean | com.mobileapp.virus | 500,000+ |
| Security Antivirus 2018 | muel.security.antivirus | 500,000+ |
| Max Security - Antivirus&Booster &Cleaner | com.stranger.maxsecurity | 500,000+ |
| Antivirus Cleaner - Virus Scanner And Junk Remover | com.applock.security.viruscleaner | 100,000+ |
| Antivirus Security Free | com.rgamewall.anti2018 | 100,000+ |
| Antivirus Cleaner For Android & App Locker Pattern | com.antivirusforandroid.freeapp | 100,000+ |
| Antivirus Security | dhl.freesecure | 100,000+ |
| Smadav antivirus for android 2018 | com.smallapp.antivirus | 50,000+ |
| Antivirus Free : Process Virus | com.greenbooster.process | 50,000+ |
| TV Antivirus Free + Applock | toto.prosecurity | 50,000+ |
| Antivirus Virus Cleaner - Security Applock 2017 | com.viruscleaner.antivirus.security | 50,000+ |
| Super Security-Anti Virus, Phone Cleaner & Booster | com.supersecurity.cleaner | 10,000+ |
| Antivirus Free + Virus Cleaner + Security App | antivirus.cleaner.security.scanner | 10,000+ |
| Antivirus Pro - Virus Cleaner - Boost Mobile free | com.fantabulous.antiviruspro.viruscleaner | 10,000+ |
| Virus Clean Antivirus - Cpu Cooler & Ram Master | com.msysoft.viruscleaner.cleanvirus | 10,000+ |
| 360 Secure Antivirus | com.ufgames.antivirus | 10,000+ |
| Antivirus Cleaner Booster | com.best.apps.collection.antivirus | 10,000+ |
| Antivirus Android 2018 | com.looptoop.antivirus.android2018 | 10,000+ |
| Antivirus & Virus Remover 2018 | com.glagahstudio.viruscleaner.booster | 10,000+ |
| Antivirus Free 2018 | com.lalbazai.antivirus.mobilesecurity2018 | 5,000+ |
| Kara Security Manager Antivirus | kara.securitymanager.antivirus | 5,000+ |
| Security Antivirus 2018 | jts.security.mobile | 5,000+ |
| Antivirus & Virus Cleaner & Security | oriwa.antivirus.cleanvirus | 5,000+ |
| Master Antivirus Booster App Lock | com.boostercleaner.antivirus.mobilesecurity | 5,000+ |
| Virus Cleaner - Antivirus,Booster,Security&AppLock | com.radiantappsworld.securityantivirus | 5,000+ |
| Smart Security Antivirus & Applocker & Cleaner | org.orangina.antivirusmobilesecurity | 1,000+ |
| Antivirus 2017 & Virus Removal | com.bsm.multisecurity | 1,000+ |
| Energy Antivirus Cleaner | com.energy.antivirus.cleaner | 1,000+ |
| Antivirus Master-Applock Pro | com.octa.anti.antivirus | 500+ |
| AntiVirus Mobile Security for Android - Free | com.mobicluster.mobile.security.antivirus | 100+ |
