Eine groß angelegte Malware-Kampagne mit dem Namen „Vapor“ hat über 60 Millionen Downloads auf Google Play erreicht. Mehr als 300 bösartige Android-Apps dienten entweder als Adware oder versuchten, Anmeldedaten und Kreditkarteninformationen zu stehlen. Obwohl Google inzwischen alle betroffenen Apps entfernt hat, bleibt die Bedrohung bestehen, da die Angreifer bereits bewiesen haben, dass sie Googles Sicherheitsprüfungen umgehen können.
Hintergrund der „Vapor“-Kampagne
Die Malware-Kampagne wurde erstmals von der Sicherheitsfirma IAS Threat Lab entdeckt, die 180 infizierte Apps identifizierte. Diese Apps generierten täglich rund 200 Millionen betrügerische Werbeanfragen, was auf ein weitreichendes Ad-Fraud-Netzwerk hinweist. Ein neuer Bericht von Bitdefender erhöhte die Zahl der betroffenen Apps auf 331 und stellte fest, dass besonders viele Infektionen in Brasilien, den USA, Mexiko, der Türkei und Südkorea auftraten.
Die meisten Vapor-Apps wurden zwischen Oktober 2024 und Januar 2025 auf Google Play veröffentlicht. Einzelne Uploads erfolgten jedoch bis März 2025. Die Apps wurden über verschiedene Entwicklerkonten hochgeladen, um das Risiko einer massenhaften Sperrung zu minimieren. Zudem verwendeten sie unterschiedliche Werbe-SDKs, um eine Erkennung zu erschweren.
Funktion und Verbreitung der Malware
Die schädlichen Apps tarnten sich als nützliche Programme wie Fitness-Tracker, Notiz-Apps, Batterieoptimierer oder QR-Code-Scanner. Bei der Einreichung im Google Play Store enthielten sie zunächst keine schädlichen Funktionen, sodass sie die Sicherheitsprüfung problemlos bestanden. Erst nach der Installation luden sie schädlichen Code von einem Command-and-Control-Server (C2) nach.
Zu den prominentesten infizierten Apps gehörten unter anderem:
- AquaTracker – 1 Million Downloads
- ClickSave Downloader – 1 Million Downloads
- Scan Hawk – 1 Million Downloads
- Water Time Tracker – 1 Million Downloads
- Be More – 1 Million Downloads
- BeatWatch – 500.000 Downloads
- TranslateScan – 100.000 Downloads
- Handset Locator – 50.000 Downloads
Die Apps deaktivierten nach der Installation ihre Launcher-Aktivität, sodass sie aus der App-Übersicht verschwanden. In einigen Fällen änderten sie ihren Namen in den Einstellungen und gaben sich als legitime Google-Dienste wie „Google Voice“ aus. Sie nutzten native Code-Techniken, um Sicherheitsmaßnahmen von Android 13+ zu umgehen und verschleierten ihre Aktivitäten durch den Einsatz von versteckten Hintergrundprozessen.
Schadwirkung und Betrugsmechanismen
Die Vapor-Apps waren hauptsächlich auf Ad-Fraud ausgelegt. Sie erzwangen die Anzeige von Werbeanzeigen über Bildschirmüberlagerungen, die sich nicht ohne Weiteres schließen ließen. Dabei wurde der „Zurück“-Button deaktiviert und die Apps aus der „Letzte Apps“-Ansicht entfernt, sodass Nutzer oft nicht feststellen konnten, welche App die Werbung auslöste.
Einige der Apps gingen jedoch noch weiter: Sie blendeten gefälschte Anmeldeseiten für Facebook und YouTube ein, um Zugangsdaten zu stehlen. Andere forderten Nutzer auf, Kreditkarteninformationen einzugeben, indem sie sich als seriöse Zahlungsabwickler ausgaben.
Schutzmaßnahmen und Reaktion von Google
Google hat nach der Entdeckung der Malware alle identifizierten Apps aus dem Play Store entfernt. Ein Sprecher des Unternehmens bestätigte, dass Android-Nutzer automatisch durch Google Play Protect geschützt sind. Dieser Schutzmechanismus ist standardmäßig auf allen Geräten mit Google Play-Diensten aktiviert.
Sicherheitsforscher warnen jedoch, dass ähnliche Malware-Kampagnen jederzeit wieder auftauchen können. Nutzer sollten daher vorsichtig sein und Apps nur aus vertrauenswürdigen Quellen installieren. Es empfiehlt sich, die Berechtigungen jeder App genau zu prüfen und regelmäßig die Liste der installierten Anwendungen mit den tatsächlich sichtbaren Apps im App-Drawer zu vergleichen.
Falls eine der betroffenen Apps bereits installiert wurde, sollten Nutzer sie sofort deinstallieren und einen vollständigen Scan mit Google Play Protect oder einer anderen Sicherheitssoftware durchführen.
Die Vapor-Kampagne zeigt erneut, dass selbst der offizielle Google Play Store keine absolute Sicherheit vor Malware bietet. Cyberkriminelle nutzen zunehmend raffinierte Methoden, um schädliche Apps zu verbreiten und Schutzmechanismen zu umgehen. Eine Kombination aus technischen Schutzmaßnahmen und einem umsichtigen Nutzerverhalten bleibt der beste Weg, um sich vor solchen Bedrohungen zu schützen.
