Malware: safedownloadapps und gpamazingapps

Einige Android-Nutzer sind in den letzten Tagen über die folgende Meldung von Websites namens

• safedownloadapps.com
• static.gpamazingapps.xyz oder
• superamazingapps.com

gestolpert:

ACHTUNG: Der Android-System ist nicht mehr erhältlich!

Die Ursache dieser Meldung liegt offenbar in einer Sicherheitslücke des AdSense-Anzeigen-Systems von Google.

Merkwürdige Fehlermeldung von static.gpamazingapps.xyz

AdSense spielt offenbar – nur auf mobilen Geräten – Anzeigen aus, welche den Nutzer ohne Klick auf die oben genannten Seiten weiterleiten.

Hat der User auf OK geklickt, verschwindet die Meldung und der User bekommt eine Seite zu sehen, welche wie eine Android Systemmeldung aussieht und in schlechtem Deutsch dazu verführt, dass man sich eine Software namens 360 Security herunterlädt und installiert:

 

Steckt ein reelles Produkt hinter dieser Spam-Attacke?

Tatsächlich landet man nach dem Klick auf den „Jetzt installieren“ Button im Google Play Store, wo „360 Security – Antivirus Boost (Die Nr.1 Android Optimierungs- und Sicherheits-App“ erhältlich ist. Ich habe diese nicht selbst im Einsatz, die Software scheint aber eine riesige Userbase mit über 100 Millionen Downloads zu haben. Auch acht Millionen Bewertungen sind kein Pappenstiel.

Installiert habe ich die App trotz allem nicht. Vielmehr frage ich mich an welcher Stelle wohl die beauftragte Online-Marketing-Agentur falsch abgebogen ist.

Das Problem wurde zuerst in Spanien entdeckt – Ursache weiter unklar.

Vor rund einer Woche konnte ich nur spanische Seiten finden, die das Problem beschrieben:

• http://elchapuzasinformatico.com/2015/09/la-molesta-publicidad-safedownloadapps-que-infesta-internet/
• http://www.omicrono.com/2015/09/publicidad-de-safedownloadapps/
• http://www.androidsis.com/safedownloadapps-virus-android/

Mittlerweile scheint sich das Thema auch in Deutschland auszubreiten, über die Ursachen herrscht aber nach wie vor Unklarheit. Ideen sind zum Beispiel folgende:

• Browser: Tritt der Spam von safedownloadapps, et.al. nur in Googles Chrome  auf, wie in der Diskussion auf Androidpit vermutet wird? https://www.androidpit.de/forum/668744/popup-weiterleitung-auf-schadsoftware-seiten-google-chrome
• Plugin: Haben die betroffenen Seiten Plugins eingebaut, welche neben der normalen Funktionalität auch ein Skript einbauen, welches für das „Hijacking“ verantwortlich ist?
• AdSense: Oder ist doch Googles Werbeauslieferungsprogramm oder einer der im Hintergrund werkelnden Drittauslieferer Ursache der ungewollten Entführungen?

Auch in den Google Produktforen werden viele Vermutungen angestellt: https://productforums.google.com/forum/#!topic/adsense-de/i2ZzhzhCiog

Abhilfe für Publisher

Als Webseitenbetreiber solltest du folgende Schritte ausführen

1. Melde dich in deinem Google AdSense Account an: http://adsense.google.com
2. Gehe im Hauptmenü auf „Anzeigen zulassen und blockieren“
3. Trage in die Textbox folgende Zeilen ein:
   • safedownloadapps.com
   • static.gpamazingapps.xyz
   • superamazingapps.com
4. Klicke auf den Button „URLs blockieren“

Fertig!

Abhilfe für User

1. Schließe den mobilen Browser-Tab
2. Lösche Cookies der betreffenden Seite
3. Weise den Betreiber der betroffenen Website darauf hin, dass seine Seite schadhafte Anzeigen ausliefert. Ggf. mit Verweis auf diese Seite hier oder eine der o.g. Quellen.

Leider ist damit noch nicht sichergestellt, dass das Problem wirklich behoben ist. Hoffen wir also, dass Google sich der Sache annimmt und den Spam von superamazingapps & Co bald abschaltet.