Antivirus for Android als Scareware enttarnt und aus dem Play Store geflogen

MobileMobile OSSicherheitVirus
Palo Alto Networks (Bild: Palo Alto Networks)

Darauf hat jetzt der IT-Security-Anbieter Palo Alto Networks hingewiesen. Allerdings wurde die App, die Benutzer durch Hinweise auf angeblich erkannte Viren zum Kauf eines Premium-Services bewegen will, schon von über einer Millionen Nutzern aus dem Google Play Store heruntergeladen. Interessant: Wer bezahlt, bekommt tatsächlich Virenschutz.

Palo Alto Networks warnt vor einer Antivirus for Android genannten App aus dem Google Play Store. Wie die Untersuchung durch Experten des Unternehmens ergeben habe, zeigt das Programm vermeintlich erkannte Viren an – will damit Benutzer aber lediglich zum Kauf eines Premium-Services bewegen. Den Statistiken bei Google Play zufolge haben Benutzer die App “Antivirus for Android” mehr als eine Million Mal heruntergeladen. Die Anwendung wurde zeitweise daher auch in den Top 100 der kostenlosen Apps in der Kategorie “Tools” aufgelistet.

Android Malware (Bild: ZDNet)

“Unsere Analyse-Cloud WildFire identifizierte die App als Scareware. Am 20. Januar berichteten wir Google von diesem Problem und zwei Tage später wurde die App von Google Play entfernt”, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. “Dennoch gibt es eine immense Zahl an Geräten, auf denen die App mittlerweile installiert wurde.”

Ihm zufolge wurde “Antivirus for Android” von der Firma “CTG Network Ltd.” entwickelt. Die App meldet beim Start jeweils, dass zwei oder drei Bedrohungen auf dem Gerät identifiziert wurden. Zu den vermeintlich gefundenen Gefahren gehören häufig , Android.Lotoor.C, ein verbreitetes Root-Exploit-Programm, Android.Metasploit.C, ein Tool für Sicherheitspenetrationstests und Android.Plankton.C, ein alter Android-Trojaner.

Palo Alto Networks hat Antivirus for Android als Scareware enttarnt (Bild: Palo Alto Networks)

Klickt der Benutzer auf die Schaltfläche “Reparieren”, berichtet ihm die App, dass eine davon eliminiert wurde und empfiehlt ein Upgrade auf die Vollversion, damit die restlichen entfernt werden können. Nimmt er das Angebot mit Antippen von „Aktualisieren auf Vollschutz“ an, wird er aufgefordert, einen Abo-Service für4,99 Dollar pro Monat durch In-App-Kauf bei Google Play zu bestellen.

Den Spezialisten von Palo Alto Networks zufolge weist allerdings vieles darauf hin, dass es sich bei dem Programm um sogenannte Scareware handelt – es also kein tatsächlich funktionierendes Antivirus-Programm ist. Das fängt schon damit an, dass die angezeigten „Ergebnisse“ der Analyse in der App fest codiert sind. Der Entwickler hat diese “infizierten Pakete” im Quellcode sogar als “fake.virus” benannt. Auch die Beseitigung, die nur mit „initial_virus_cleared“ in der internen Datenbank der App markiert wird, ist nur vorgespiegelt. Die anschließend angezeigte Nachricht zur Anzahl der beseitigten Bedrohungen ist ebenfalls fest codiert.

Im Gegensatz zu bisher aufgetauchten Fake-Antivirus-Anwendungen bekommen Nutzer von „Antivirus for Android“, nachdem sie bezahlt haben, allerdings tatsächlich einen echten Antiviren-Dienst. Laut Palo Alto Networks nutz sie dann eine mobile Antivirus-Engine von Bitdefender. Mit der scannt die Premium-Version dann Apps und SD-Karte des Geräts. Unklar ist aktuell noch, ob die integrierte Bitdefender-Engine tatsächlich vom App-Entwickler lizenziert wurde. Aktualisierten Code und neue Signaturen-Updates ruft sie jedenfalls von hxxp://api.androidsantivirus.com/Antivirus/android-Arm, auf der offiziellen Website der App ab.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen