BeiTaAd: Penetrante Adware in 238 Android-Apps gefunden

Die Sicherheitsexperten des Lookout Blogs haben die versteckte Adware „BeiTaAd“ in 238 auf Google Play angebotenen Apps entdeckt, die allesamt von einem Entwickler stammen. Die mehrere Hundert Millionen Installationen zählende Adware verhindert aufgrund penetranter Werbeeinblendungen eine normale Bedienung des Smartphones.

Die Adware BeiTaAd versteckte sich als gut getarntes Plugin in 238 Anwendungen des 2008 in Shanghai gegründeten Unternehmens CooTek, das seit 2018 an der New Yorker Börse geführt wird. Mehr als 440 Millionen Installationen von Apps mit dem schädlichen BeiTaAd-Plugin zählen die Sicherheitsexperten des Lookout Blogs. Nach Inkenntnissetzung von Google seien alle betroffenen Anwendungen entweder bereinigt und in neuer Version hochgeladen oder aus dem Play Store entfernt worden.

Entwickler nutzten versteckte Datei

Wie die Sicherheitsexperten erklären, sei das Adware-Plugin gut von den Entwicklern versteckt worden. Mit der Erstveröffentlichung Anfang 2018 sei die für die Ausführung verantwortliche Datei unverschlüsselt unter dem Namen beita.rec in einem Unterordner des App-Paketes zu finden gewesen, obwohl es sich eigentlich um eine Dalvik-Executable-Datei (.dex) mit ausführbarem Code gehandelt habe. Spätere Versionen der für die Adware verantwortlichen Datei seien umbenannt worden oder mittels AES verschlüsselt gewesen.

Adware in HTC-Tastatur

BeiTaAd war in beliebten Anwendungen wie der Tastatur TouchPal zu finden gewesen, die auf Google Play zum Zeitpunkt der Veröffentlichung des Sicherheitsberichtes mehr als 100 Millionen Installationen zählte. TouchPal ist im Rahmen einer Kooperation unter anderem auf Smartphones des Herstellers HTC vorinstalliert. Schon 2017 war es in diesem Zusammenhang in sozialen Netzwerken zu Berichten von Anwendern gekommen, die sich über Werbung bei Nutzung der Tastatur beschwerten.

Bedienung des Smartphones unmöglich

Wie der Lookout Blog aufzeigt, ist es zuletzt vermehrt zu negativen Bewertungen der App im Play Store gekommen. Die Werbeeinblendungen seien zum Teil so exzessiv gewesen, dass eine normale Bedienung des Smartphones nicht mehr möglich gewesen sei. Andere Nutzer beschweren sich, dass selbst nach der Zahlung für die Premium-Variante der App störende Werbeeinblendungen zu sehen seien. Außerdem wird auf ein Android-Forum verwiesen, in dem seit Monaten über das Plugin diskutiert wird.

Liste betroffener Apps

In ihrem Sicherheitsbericht erklärt Kristina Balaam vom Lookout Blog, dass die Gefahr mit Stand vom 23. Mai gebannt sei, alle Apps seien in neuer Version ohne das Plugin im Play Store zu finden oder wurden entfernt. Auf dem Blog ist am Ende des Beitrags eine Liste aller betroffenen Anwendungen mit zugehörigen SHA-Prüfsummen zu finden.

Eigentlich soll Googles Play Protect vor schädlichen Apps im Play Store schützen.