Sicherheitsforscher des Unternehmens Human entdeckten insgesamt 28 Apps im Google Play Store, die Android-Geräte in Proxy-Server umwandelten, ohne dass die Nutzer davon wussten. Diese Apps wurden größtenteils als kostenlose VPN-Anwendungen getarnt, aber hinter der Fassade verbarg sich eine ausgeklügelte Methode, um den Datenverkehr über die Geräte anderer Personen zu leiten und illegale Aktivitäten zu verschleiern.
Die Funktionsweise
Die Apps verwendeten eine Golang-Bibliothek namens Proxylib, um die Proxy-Funktionalität bereitzustellen. Dadurch konnten Cyberkriminelle den Datenverkehr über die Geräte von ahnungslosen Nutzern leiten, um beispielsweise Werbebetrug, Phishing-Angriffe und andere böswillige Aktivitäten auszuführen. Die Nutzer bemerkten davon in der Regel nichts, es sei denn, sie achteten auf eine erhöhte Datennutzung.
Das Lumiapps-SDK
Die Entwickler der betroffenen Apps nutzten das Lumiapps-SDK, das behauptete, eine DSGVO-konforme Lösung zur Monetarisierung von Apps zu sein. Allerdings stellte sich heraus, dass das SDK die IP-Adressen der Nutzer verwendete, um im Hintergrund Webseiten zu laden, die dann an Unternehmen gesendet wurden, um deren Datenbanken zu verbessern. Diese Praxis wurde von den Nutzern oft nicht wahrgenommen und führte zu einer unbewussten Beteiligung an illegalen Aktivitäten.
Maßnahmen von Google
Nachdem die Sicherheitsforscher ihre Ergebnisse veröffentlicht hatten, entfernte Google alle 28 Apps aus dem Play Store und aktualisierte Google Play Protect, um Nutzer automatisch vor diesem Missbrauch zu schützen. Dennoch warnen die Forscher davor, dass die Akteure hinter dieser Operation weiterhin neue Versionen ihres SDKs veröffentlichen, um den Proxydienst in weitere Apps zu implementieren.
Schlussfolgerung
Dieser Vorfall zeigt deutlich, dass auch vermeintlich legitime Apps in App Stores potenzielle Gefahren bergen können. Android-Nutzer sollten daher wachsam sein und sicherstellen, dass sie ihre Geräte regelmäßig auf verdächtige Aktivitäten überprüfen. Darüber hinaus ist es wichtig, dass Plattformen wie Google Play weiterhin proaktiv gegen solche Bedrohungen vorgehen, um die Sicherheit ihrer Nutzer zu gewährleisten.