Forscher der Sicherheitsfirma Malwarebytes haben festgestellt, dass eine populäre App für das Scannen von Barcodes Schadsoftware auf immerhin zehn Millionen Android-Geräten installiert hat. Mit einem einzigen Update im Dezember verwandelte sich der Barcode Scanner von Lavabird Ltd. in ein trojanisches Pferd.

Die Android-App Barcode Scanner war seit Jahren im offiziellen App-Repository von Google verfügbar. Die App weist über 10 Millionen Installationen auf und bot einen QR-Code-Leser sowie einen Barcode-Generator an. Die App schien eine legitime, vertrauenswürdige Software zu sein, denn viele Anwender hatten sie vor Jahren ohne Probleme installiert– bis vor kurzem…

Per Update vom Scanner zum Spammer

Nach Angaben von Malwarebytes beschweren sich Anwender seit Dezember 2020 über unerwartet aufpoppende Werbung auf ihren Android-Smartphones. Häufig sind unerwünschte Programme, Werbung und Malvertising mit neuen App-Installationen verbunden, aber hier berichteten Anwender, dass sie in letzter Zeit nichts Neues installiert hatten.

Bei der Untersuchung des Problems machten die Forscher die App Barcode Scanner als Übeltäter aus. Mit einem Software-Update, das um den 4. Dezember 2020 herum veröffentlicht wurde, wurde die Funktionen der App so modifiziert, dass sie ohne Vorwarnung Werbung schaltete.

Aggressive Werbepraktiken sind manchmal von SDK-Drittanbietern zu verantworten, was allerdings beim Barcode Scanner nicht der Fall war. Stattdessen sagt Malwarebytes, dass bösartiger Code mit dem Dezember-Update eingeschleust wurde und auch sehr gut versteckt wurde, um eine Entdeckung zu vermeiden.

Malwarebytes meldete seine Erkenntnisse an Google weiter und der Android-Hersteller hat die App jetzt aus Google Play entfernt. Das heißt aber nicht, dass die App von alleine von den betroffenen Geräten verschwindet – die Benutzer müssen die jetzt schädliche gewordene App selbst manuell deinstallieren.