Die Firma Kiniwini aus Südkorea
Wie heise.de unter Berufung auf die Enthüllungen der Sicherheitsexperten von Checkpoint berichtete, hat die südkoreanische Firma Kiniwini betrügerisch gehandelt. Dabei hatte sie in 41 Android-Apps, überwiegend Computerspiele, eine Funktion zum Anzeigenbetrug verborgen.
Es sollen bislang mehr als 36 Millionen Nutzer die Malware geladen haben. Diese öffnet im Hintergrund bestimmte Webseiten von Kiniwini, lokalisiert per JavaScript darauf angezeigte Werbebanner der Google-Ads-Infrastruktur und betätigt darauf zahlreiche Klicks. Offensichtlich ein ertragreiches Geschäft für die Firma Kiniwini, die daraus monatlich Werbe-Tantiemen in der Größenordnung von 300.000 US-Dollar erzielt haben soll.
Jahrelanger Anzeigenbetrug?
Diese besondere Art der Malware ist schwer zu finden, da sie beim Anwender gar keinen spürbaren Schaden anrichtet und zudem keine weiter reichenden Berechtigungen benötigt als die zum allgemeinen Internet-Zugriff. Auch Googles Abwehrtechnik namens Bouncer konnte hier nichts ausrichten. Da die Kiniwini-Software die Malware-Funktionen offenbar erst nachlädt, wenn die jeweilige App bereits installiert ist und sich abseits des Google-Shops bei ihrem Hersteller registriert hat, wie es dazu heißt. Die Apps konnten so selbst für Antivirenprogramme nicht einfach erkannt werden.
Google soll laut Medienberichten die betreffenden Anwendungen nach dem Hinweis durch Checkpoint sofort aus dem Store entfernt haben. Einige davon sind zwar nach Angaben der Sicherheitsfirma schon seit mehreren Jahren im Google-Store abrufbar gewesen, wurden aber erst kürzlich aktualisiert. Wie lange der Anzeigenbetrug schon stattfindet, ist unbekannt.
Stellungnahme Kiniwini
Der Hersteller hat verlautbaren lassen, die blockierten Spiele ließen sich jetzt zwar unglücklicherweise nicht mehr herunterladen. Anwender, die sie schon installiert und danach nicht gelöscht hätten, könnten sie aber weiterhin benutzen, und im Übrigen sei innerhalb von zwei Monaten mit neuen Versionen zu rechnen.
Kiniwini tritt im Google-Store als Enistudio auf.
Weiterführende Links:
checkpoint.com: The Judy Malware: Possibly the largest malware campaign found on Google Play
heise.de: Google entfernt Anzeigen-Autoklicker
