Mobile Adware: Anzeigen zeigen Werbung, werben für Anzeigen, zeigen Anzeigen…

18.03.2019, 9:01Uhr
• IT Security

Mobile Adware ist möglicherweise nicht unmittelbar so schädlich und zieht deshalb oft nicht so viel Aufmerksamkeit auf sich wie mobile Malware – dennoch handelt es sich hierbei um die Funktion mobiler Geräte extrem beeinträchtigende Software. Grund genug also für die Forscher der SophosLabs, sich einmal mit einem Netzwerk von Adware-Apps zu beschäftigen, dem es lange Zeit gelungen ist, die Beschränkungen des Google-Play-Marktes zu umgehen. Google hat bereits Maßnahmen ergriffen und die in diesem Bericht aufgeführten Apps aus dem Online-Shop entfernt. Doch waren zu diesem Zeitpunkt die 84 Apps schon auf mehrere Millionen Geräte heruntergeladen worden, am häufigsten „TV Remote”. Bei einem Adware-Entwickler haben die Labs zudem festgestellt, dass er immer weitere Apps herausbringt, die das gleiche Verhalten zeigen. Die Themen umfassen die gesamte Bandbreite von Spielen über Hilfsprogramme (z. B. sogenannte „Batterie-Booster“ oder Fernsehfernbedienungen) bis hin zu Apps, die das Hintergrundbild ändern oder Bilder mit „Stickern“ auf Fotos überlagern.

So arbeiten die Adware-Programme:
Sobald Nutzer eine der Apps installiert haben, initialisiert sich diese selbst und legt dann eine Hintergrundaufgabe fest, mit der Vollbildanzeigen auf mobile Geräte geschaltet werden sollen – einige, wenn sich Benutzer mit den Apps beschäftigen, andere mithilfe eines Timers. Viele Anzeigen werben wiederum für andere Apps mit demselben Verhalten, die dann bei jeder zusätzlichen Installation den Besitzer des Geräts mit noch mehr Vollbildwerbung bombardieren können. Ein Beispiel: direkt nach dem Start eines Autorennspiels mit dem Namen „City Racing Parking“ (com.hemanlia.cityracing.parking) zeigt die App eine Vollbildanzeige für eine andere Renn-App, „Racing Tour“ (com.hemanlia.racing.circuit). Bei den meisten dieser Apps wurde sogar eine Vollbildanzeige für eine andere App geschaltet, noch bevor dem Benutzer die App selbst angezeigt wurde. Von Zeit zu Zeit entscheidet der Anzeigencode, dass eine Anzeige im Vollbildmodus nicht aufdringlich genug ist, und während die eine Werbung im Vollbildmodus angezeigt wird, wird darüber bereits eine weitere eingeblendet. Die Anzeigen graben sich immer tiefer, sodass es zunehmend schwieriger wird, das betroffene Gerät einfach zu verwenden und die Anzeigen durch tippen auf das kleine X zu schließen. Das Gerät wird sozusagen mit Werbung überflutet.

Einige der Apps haben zudem eine sehr eingeschränkte Funktion. Zum Beispiel besteht der Funktionalitätsumfang von „Sticker“-Apps darin, den in WhatsApp standardmäßig zur Verfügung gestellten Bildern 10 bis 20 kleine Emoji-ähnliche Bilder hinzuzufügen. Diese Apps können im Lauf der Zeit in immer kürzerer Zeit aufdringliche Vollbildwerbung schalten. Und das sogar dann, wenn andere Apps im Vordergrund stehen. Viele der 84 Apps, aus denen das Originalset bestand, sind im Wesentlichen Klone voneinander.

Code-Analyse der Android-Adware:
Die Analyse dieser Apps zeigt nichts besonders Ausgefeiltes: Die Entwickler haben ihren Code nicht verschleiert. Der Quellcode enthält normale Komponenten, z. B. Code zum Starten der Haupt-App-Aktivität, bei bestimmten Ereignissen ausgesuchte Empfänger und (natürlich) Anweisungen zum Laden von Anzeigen. Darüber hinaus wurde auch Code aus legitimen, in Apps eingebetteten, Anzeigen-Frameworks von Drittanbietern gefunden: Jede URL, die zu einer JPEG-Datei führt, führt zu einem anklickbaren Bild. Jede übereinstimmende URL, die zu einer TXT-Datei führt, ruft einen Namen der beworbenen App ab.

Wie verdienen Entwickler Geld mit ihren Ad-Apps?
Ein gängiges Modell zum Gelderwerb beruht darauf, dass Nutzer auf Anzeigen klicken. Der Umsatz hängt von der Anzahl von angezeigten Werbeanzeigen (so genannten Impressionen) sowie von einer Klickrate (Click-Through-Rate – CTR) ab. Dies ist die Anzahl der Klicks aller Werbeanzeigen, die dem Nutzer angezeigt werden.

Dieses Modell motiviert Entwickler direkt dazu, Vollbild-Anzeigen (Interstitial-Anzeigen) zu präsentieren, was zu einer höheren CTR führt. Die CTR-Rate für solche Vollbildanzeigen erreicht 5 Prozent aller Werbeanzeigen, die dem Nutzer angezeigt werden. Es ist unnötig zu erwähnen, dass ein Satz aggressiver Apps mit Millionen von Installationen das Potenzial hat, beträchtliche Einnahmen für die Entwickler zu erzielen. Deshalb gilt auch beim Herunterladen von Apps stets, auf Sinn und Nutzen zu schauen und bei vermeintlich tollen Gratis-Angeboten Vorsicht walten zu lassen.

Quelle: www.sophos.com