Mobile Security: Pseudo Security Apps wiegen User in falsche Sicherheit

Mobile Security: Pseudo Security Apps wiegen User in falsche Sicherheit

ESET-Forscher analysierten kürzlich entdeckte Apps aus dem offiziellen Android App Store - dem Google Play Store. Die Anwendungen imitieren Mobile Security Apps und warten höchstens mit Werbeeinblendungen und uneffektiver Pseudo-Security auf.

ESET-Forscher analysierten kürzlich entdeckte Apps aus dem offiziellen Android App Store – dem Google Play Store. Die Anwendungen imitieren Mobile Security Apps und warten höchstens mit Werbeeinblendungen und uneffektiver Pseudo-Security auf.

Die unabhängige Prüfstelle AV-Comparatives erklärt, dass im Hinblick auf Mobile Security Anwendungen signifikante Unterschiede im gebotenen Schutzgrad bestehen. Selbst die am schlechtesten abschneidenden Apps sind immer noch besser als fragwürdige Anwendungen, die Mobile Security Apps bloß nachahmen und Werbung einblenden. Nun wurden 35 solcher Anwendungen im offiziellen App Store von Android, dem Google Play Store, entdeckt.

Schon seit einigen Jahren fliegen diese Anwendungen unter dem Radar. Google Play Statistiken zeigen ein kumuliertes Installationsminimum von sechs Millionen. Allerdings muss man zugeben, dass es sich dabei nicht nur um echte Installationen handelt. Es ist gängige Praxis, dass Bots den Download-Zähler in die Höhe treiben und hin und wieder positive Kommentare für die Apps hinterlassen, damit deren Rating steigt.

Alle 35 Apps wurden von ESET bei Google gemeldet und letztendlich vom Google Play Store Team entfernt.

Abbildung 1: 35 fragwürdige Apps im Google Play Store

Abbildung 1: 35 fragwürdige Apps im Google Play Store

Nicht nur dass die imitierenden Anwendungen die User mit Werbung belästigen, sie bringen auch einige ernsthafte negative Nebeneffekte mit sich. Alle Apps sind wirklich nur sehr primitive Security Checker, die sich auf triviale, in den Code festgeschriebene Regeln verlassen. Es kommt nicht selten vor, dass sie legitime Apps als schädlich einstufen. Insgesamt rufen sie ein falsches Gespür für Sicherheit bei den Anwendern hervor. Echte Gefahren werden nicht erkannt, womit sie ein hohes Risiko bergen.

ESETs Analysen zeigen, dass unter den 35 Apps, nur eine Hand voll wegen ihrer besonderen Features auffallen. Eine Anwendung ist nicht komplett kostenfrei, da sie ein kostenpflichtiges Upgrade anbietet. Einige andere bieten einen primitiven App-Locker, der aber leicht zu umgehen ist. Dann gibt es eine App, die andere der Sorte von vornherein als schädlich einstuft. Zu guter Letzt hat ESET auch eine Anwendung entdeckt, welche sich unerlaubt an der Marke bedient.

Eine App stuft andere der Sorte als „hochriskant“ ein.

Abbildung 2: Eine App stuft andere der Sorte als „hochriskant“ ein.

Eine App stuft sich selbst als „hochriskant“ ein.

Abbildung 3: Eine App stuft sich selbst als „hochriskant“ ein.

Eine App bietet einen Upgrade-Plan an.

Abbildung 4: Eine App bietet einen Upgrade-Plan an.

Nachahmen von Security-Features

Um nicht aufzufallen, imitieren die zwielichtigen, Werbung einblendenden, Apps echte Mobile Security Anwendungen. Ihr „Entdeckungsmechanismus“ arbeitet aber nur sehr primitiv und unvollständig. Es ist ein Leichtes, diesen zu umgehen und falsch-positive Ergebnisse hervorzurufen.

Der ESET-Research zu den fragwürdigen Apps zeigt, dass die „Entdeckungsmechanismen“ in vier Kategorien eingeteilt werden können. Die Mechanismen der 35 Apps sind (nahezu) identisch.

  1. Package Name Whitelist & Blacklist

Auf der Whitelist tauchen Anwendungen wie die von Facebook, Instagram, LinkedIn, Skype und andere auf. Die „Blacklist“ wartet mit deutlich zu wenig Einträgen auf, um in irgendeiner Weise eine schützende Funktion zu gewährleisten.

Abbildung 5: Whitelist von populären Apps

Abbildung 5: Whitelist von populären Apps

  1. Blacklist aufgrund von Berechtigungen

Alle Anwendungen – auch die legitimen – werden als Risiko eingestuft, wenn einige der notwendigen Berechtigungen auf der Blacklist stehen. Dazu gehören das Senden und Empfangen von SMS, Standortbestimmung, Kamerazugriff und andere.

Abbildung 6: Blacklist aufgrund von Berechtigungen

Abbildung 6: Blacklist aufgrund von Berechtigungen

  1. Quellenbezogene Whitelist

Alle Anwendungen die nicht aus dem offiziellen Google Play Store stammen, werden als Risiko eingestuft – selbst solche, die völlig harmlos sind.

  1. Blacklisting aufgrund von bestimmten Aktivitäten

Als Risiko werden alle Apps eingestuft, die auf der Blacklist aufgeführte Aktivitäten ausüben. Dazu gehören beispielsweise auch Anwendungspakete, die in einer Anwendung verwendet werden. Diese Pakete können zusätzliche Funktionalitäten (hauptsächlich einige Werbe-Aktivitäten) verwalten.

Generell ist Activity Blacklisting eine gute Maßnahme. Allerdings ist die Ausgestaltung in den fragenwürdigen Apps wenig zufriedenstellend. Beispielsweise sind Google Ads in der Blacklist aufgeführt, obwohl es sich um keinen riskanten Dienst handelt. Diese Art von Blacklist haben wir in allen zwielichtigen Apps gefunden.

Abbildung 7: Activity Blacklisting

Abbildung 7: Activity Blacklisting

Zusätzliche „Sicherheitsfunktionen“

Ein paar der analysierten Android-Anwendungen bieten dem User die Option, andere Anwendungen durch ein Passwort oder ein Muster extra zu sichern. Die Idee, dem Anwender durch ein zusätzliches Feature eine weitere Schutzmöglichkeit zu gewährleisten ist sehr gut.

Allerdings ist die Implementierung dieses Features in den fragwürdigen Apps wenig befriedigend. Eine weitere echte Schutzschicht wird nicht geboten.

Das Problem: Relevante Informationen werden nicht sicher auf dem Android-Endgerät gespeichert. Statt Verschlüsselungsmechanismen – welche in der Cybersecurity Standard sind – werden einfach die Namen der „extra gesicherten“ Apps und die Passwörter zum entsperren in Klartext im Endgerät abgelegt.

Durch root-Zugriff können die Daten ganz einfach ausgelesen werden. Neben dem Rooten des Android-Geräts gibt es aber auch noch eine andere Möglichkeit, die App-Lock zu umgehen. Ein Angreifer mit physischen Zugang zum Gerät kann ganz einfach das Passwort ändern – ohne das alte zu wissen.

Abbildung 8: Ablegen der User-Daten und des Passworts in Klartext

Abbildung 8: Auslesen der User-Daten und des Passworts in Klartext

Fazit

Eine verlässliche Mobile Security Lösung für das Android-Endgerät ist zu empfehlen. Allerdings sind nicht alle Anwendungen echte Antiviren-Programme oder bieten den versprochenen Schutz. Vor der Installation einer Mobile Security Anwendung sollte man sich immer die Frage stellen, in wie weit der App zu vertrauen ist.

Die von ESET entdeckten und hier beschriebenen Anwendungen sind keineswegs Ransomware oder hardcore Malware. Sie nerven lediglich mit unerwünschten Werbeeinblendungen. Ein Schaden kann durch falsch-positive Erkennungen hervorgerufen werden oder durch das falsch vermittelte Sicherheitsgefühl. Hinter den unbedachten Millionen-fachen Downloads hätte auch echte Malware verborgen sein können.

Anstelle von zwielichtigen Apps mit auffallenden Namen und Icons, welche zudem verrückte Versprechungen machen, sollte man nach seriösen Mobile Security Sicherheitslösungen suchen. Dabei helfen unabhängige Prüfstellen wie beispielsweise av-comparatives.org.

IoCs

ESET Erkennungsname:

Android/Blacklister.A – Potentielle unerwünschte Anwendung

App NamePackage NameInstalls
Virus Cleaner Antivirus 2017 - Clean Virus Boostercom.sta.viruscleaner.antivirus1,000,000+
Super Antivirus & Virus Cleaner (Applock, Cleaner)com.superantivirus.mobilesecurity1,000,000+
hAntivirus - Securitycom.noah.antivirus1,000,000+
Antivirus Security freecom.xplusapps.antivirus.free500,000+
Antivirus 2018com.gotechgo.antivirus.mobilesecurity2018500,000+
Antivirus Cleancom.mobileapp.virus500,000+
Security Antivirus 2018muel.security.antivirus500,000+
Max Security - Antivirus&Booster &Cleanercom.stranger.maxsecurity500,000+
Antivirus Cleaner - Virus Scanner And Junk Removercom.applock.security.viruscleaner100,000+
Antivirus Security Freecom.rgamewall.anti2018100,000+
Antivirus Cleaner For Android & App Locker Patterncom.antivirusforandroid.freeapp100,000+
Antivirus Securitydhl.freesecure100,000+
Smadav antivirus for android 2018com.smallapp.antivirus50,000+
Antivirus Free : Process Viruscom.greenbooster.process50,000+
TV Antivirus Free + Applocktoto.prosecurity50,000+
Antivirus Virus Cleaner - Security Applock 2017com.viruscleaner.antivirus.security50,000+
Super Security-Anti Virus, Phone Cleaner & Boostercom.supersecurity.cleaner10,000+
Antivirus Free + Virus Cleaner + Security Appantivirus.cleaner.security.scanner10,000+
Antivirus Pro - Virus Cleaner - Boost Mobile freecom.fantabulous.antiviruspro.viruscleaner10,000+
Virus Clean Antivirus - Cpu Cooler & Ram Mastercom.msysoft.viruscleaner.cleanvirus10,000+
360 Secure Antiviruscom.ufgames.antivirus10,000+
Antivirus Cleaner Boostercom.best.apps.collection.antivirus10,000+
Antivirus Android 2018com.looptoop.antivirus.android201810,000+
Antivirus & Virus Remover 2018com.glagahstudio.viruscleaner.booster10,000+
Antivirus Free 2018com.lalbazai.antivirus.mobilesecurity20185,000+
Kara Security Manager Antiviruskara.securitymanager.antivirus5,000+
Security Antivirus 2018jts.security.mobile5,000+
Antivirus & Virus Cleaner & Securityoriwa.antivirus.cleanvirus5,000+
Master Antivirus Booster App Lockcom.boostercleaner.antivirus.mobilesecurity5,000+
Virus Cleaner - Antivirus,Booster,Security&AppLockcom.radiantappsworld.securityantivirus5,000+
Smart Security Antivirus & Applocker & Cleanerorg.orangina.antivirusmobilesecurity1,000+
Antivirus 2017 & Virus Removalcom.bsm.multisecurity1,000+
Energy Antivirus Cleanercom.energy.antivirus.cleaner1,000+
Antivirus Master-Applock Procom.octa.anti.antivirus500+
AntiVirus Mobile Security for Android - Freecom.mobicluster.mobile.security.antivirus100+

Hier können Sie mitdiskutieren