Fairy Games: Adware mit mehr als einer Million Downloads

Ein Programm, das sich als PDF-Reader ausgibt, tatsächlich jedoch aggressiv Werbung ausspielt, rangiert im Play-Store weit oben: „PDF-Reader: Dokumente anzeigen“ von Fairy Games hat mehr als eine Million Downloads erreicht.

Werbung auch bei geschlossener App

Forschende des Unternehmens Malwarebytes haben die Adware im Play-Store entdeckt und unter die Lupe genommen. Herausgefunden haben sie dabei etwa, dass der vorgebliche PDF-Reader auch dann Werbung ausspielt, wenn er geschlossen ist. Möglich wird das durch eine eigens für die App entwickelte Ad-SDK. Über Ad-SDKs werden die Werbeausspielungen in Apps ermöglicht, über die kostenlose App-Versionen in der Regel finanziert werden. Während gewöhnliche Ad-SDKs Werbung zum einen in moderatem Maße und zum anderen ausschließlich innerhalb der App, zu der sie gehören, ausspielen, überschreitet die Ad-SDK von Fairy Games viele Grenzen. Festgestellt wurde etwa, dass einige Stunden nach dem Download der App ein Benachrichtigungston erklingt; wird das Handy anschließend entsperrt, ist der Home-Bildschirm von einer Vollbildwerbung überdeckt. Teilweise werden hier auch Werbevideos abgespielt.

Einige Red Flags

Malwarebytes weist darauf hin, dass es sinnvoll ist, Appbeschreibungen und Meta-Informationen vor dem Download genau zu studieren. So können bei der App „PDF-Reader: Dokumente anzeigen“ einige Warnsignale ausgemacht werden. Malwarebytes nennt als erstes Warnsignal den Namen der hinter der App stehenden Firma. Demnach sei es nicht naheliegend, dass eine Gamingfirma einen PDF-Reader anbiete. Als weiteres Warnsignal nennt Malwarebytes die angegebene Altersbeschränkung von 17+. Bei einem PDF-Reader sei eine solche unüblich, schließlich würden der Reader selbst keine jugendschutzrelevanten Inhalte mitbringen. Das dritte Warnsignal, auf das das IT-Sicherheitsunternehmen hinweist, sind die Rezensionen der App. So finden sich bei mehr als einer Million Downloads und 1.500 Rezensionen nur fünf Textbeiträge, was ungewöhnlich sei. Ferner wird in den wenigen Textbeiträgen auf den Spamcharakter der App hingewiesen. Den Rezensionen zufolge ist die App außerdem nicht in der Lage, PDF-Dateien anzuzeigen – was im Widerspruch zum Namen der App steht.

App weiterhin im Play-Store

Die App ist über den Play-Store weiterhin erhältlich. Es ist jedoch davon auszugehen, dass Google sie zügig löschen wird – so ist das Unternehmen in vergleichbaren Fällen bisher vorgegangen. Zuletzt wurden vor einer Woche 35 Apps aus dem Play-Store entfernt, die von Bitdefender als Malware identifiziert worden waren.

All jenen, die die App bereits installiert haben, ist zur Deinstallation zu raten. Diese lässt sich über die App-Informationen sowie über die App-Liste in den Smartphone-Einstellungen bewerkstelligen.