{"id":844,"date":"2025-04-11T10:02:26","date_gmt":"2025-04-11T09:02:26","guid":{"rendered":"https:\/\/symion.net\/?post_type=news&p=844"},"modified":"2025-04-11T10:02:26","modified_gmt":"2025-04-11T09:02:26","slug":"gefaehrliche-android-malware-vapor-apps-infizierten-millionen-geraete","status":"publish","type":"post","link":"https:\/\/netguide.io\/news\/de\/2025\/04\/11\/gefaehrliche-android-malware-vapor-apps-infizierten-millionen-geraete\/","title":{"rendered":"Gef\u00e4hrliche Android-Malware: “Vapor”-Apps infizierten Millionen Ger\u00e4te"},"content":{"rendered":"\n

Eine gro\u00df angelegte Malware-Kampagne mit dem Namen “Vapor” hat \u00fcber 60 Millionen Downloads auf Google Play erreicht. Mehr als 300 b\u00f6sartige Android-Apps dienten entweder als Adware oder versuchten, Anmeldedaten und Kreditkarteninformationen zu stehlen. Obwohl Google inzwischen alle betroffenen Apps entfernt hat, bleibt die Bedrohung bestehen, da die Angreifer bereits bewiesen haben, dass sie Googles Sicherheitspr\u00fcfungen umgehen k\u00f6nnen.<\/p>\n\n\n\n

Hintergrund der “Vapor”-Kampagne<\/strong><\/h3>\n\n\n\n

Die Malware-Kampagne wurde erstmals von der Sicherheitsfirma IAS Threat Lab entdeckt, die 180 infizierte Apps identifizierte. Diese Apps generierten t\u00e4glich rund 200 Millionen betr\u00fcgerische Werbeanfragen, was auf ein weitreichendes Ad-Fraud-Netzwerk hinweist. Ein neuer Bericht von Bitdefender erh\u00f6hte die Zahl der betroffenen Apps auf 331 und stellte fest, dass besonders viele Infektionen in Brasilien, den USA, Mexiko, der T\u00fcrkei und S\u00fcdkorea auftraten.<\/p>\n\n\n\n

Die meisten Vapor-Apps wurden zwischen Oktober 2024 und Januar 2025 auf Google Play ver\u00f6ffentlicht. Einzelne Uploads erfolgten jedoch bis M\u00e4rz 2025. Die Apps wurden \u00fcber verschiedene Entwicklerkonten hochgeladen, um das Risiko einer massenhaften Sperrung zu minimieren. Zudem verwendeten sie unterschiedliche Werbe-SDKs, um eine Erkennung zu erschweren.<\/p>\n\n\n\n

Funktion und Verbreitung der Malware<\/strong><\/h3>\n\n\n\n

Die sch\u00e4dlichen Apps tarnten sich als n\u00fctzliche Programme wie Fitness-Tracker, Notiz-Apps, Batterieoptimierer oder QR-Code-Scanner. Bei der Einreichung im Google Play Store enthielten sie zun\u00e4chst keine sch\u00e4dlichen Funktionen, sodass sie die Sicherheitspr\u00fcfung problemlos bestanden. Erst nach der Installation luden sie sch\u00e4dlichen Code von einem Command-and-Control-Server (C2) nach.<\/p>\n\n\n\n

Zu den prominentesten infizierten Apps geh\u00f6rten unter anderem:<\/p>\n\n\n\n

    \n
  • AquaTracker<\/strong> \u2013 1 Million Downloads<\/li>\n\n\n\n
  • ClickSave Downloader<\/strong> \u2013 1 Million Downloads<\/li>\n\n\n\n
  • Scan Hawk<\/strong> \u2013 1 Million Downloads<\/li>\n\n\n\n
  • Water Time Tracker<\/strong> \u2013 1 Million Downloads<\/li>\n\n\n\n
  • Be More<\/strong> \u2013 1 Million Downloads<\/li>\n\n\n\n
  • BeatWatch<\/strong> \u2013 500.000 Downloads<\/li>\n\n\n\n
  • TranslateScan<\/strong> \u2013 100.000 Downloads<\/li>\n\n\n\n
  • Handset Locator<\/strong> \u2013 50.000 Downloads<\/li>\n<\/ul>\n\n\n\n

    Die Apps deaktivierten nach der Installation ihre Launcher-Aktivit\u00e4t, sodass sie aus der App-\u00dcbersicht verschwanden. In einigen F\u00e4llen \u00e4nderten sie ihren Namen in den Einstellungen und gaben sich als legitime Google-Dienste wie “Google Voice” aus. Sie nutzten native Code-Techniken, um Sicherheitsma\u00dfnahmen von Android 13+ zu umgehen und verschleierten ihre Aktivit\u00e4ten durch den Einsatz von versteckten Hintergrundprozessen.<\/p>\n\n\n\n

    Schadwirkung und Betrugsmechanismen<\/strong><\/h3>\n\n\n\n

    Die Vapor-Apps waren haupts\u00e4chlich auf Ad-Fraud ausgelegt. Sie erzwangen die Anzeige von Werbeanzeigen \u00fcber Bildschirm\u00fcberlagerungen, die sich nicht ohne Weiteres schlie\u00dfen lie\u00dfen. Dabei wurde der “Zur\u00fcck”-Button deaktiviert und die Apps aus der “Letzte Apps”-Ansicht entfernt, sodass Nutzer oft nicht feststellen konnten, welche App die Werbung ausl\u00f6ste.<\/p>\n\n\n\n

    Einige der Apps gingen jedoch noch weiter: Sie blendeten gef\u00e4lschte Anmeldeseiten f\u00fcr Facebook und YouTube ein, um Zugangsdaten zu stehlen. Andere forderten Nutzer auf, Kreditkarteninformationen einzugeben, indem sie sich als seri\u00f6se Zahlungsabwickler ausgaben.<\/p>\n\n\n\n

    Schutzma\u00dfnahmen und Reaktion von Google<\/strong><\/h3>\n\n\n\n

    Google hat nach der Entdeckung der Malware alle identifizierten Apps aus dem Play Store entfernt. Ein Sprecher des Unternehmens best\u00e4tigte, dass Android-Nutzer automatisch durch Google Play Protect gesch\u00fctzt sind. Dieser Schutzmechanismus ist standardm\u00e4\u00dfig auf allen Ger\u00e4ten mit Google Play-Diensten aktiviert.<\/p>\n\n\n\n

    Sicherheitsforscher warnen jedoch, dass \u00e4hnliche Malware-Kampagnen jederzeit wieder auftauchen k\u00f6nnen. Nutzer sollten daher vorsichtig sein und Apps nur aus vertrauensw\u00fcrdigen Quellen installieren. Es empfiehlt sich, die Berechtigungen jeder App genau zu pr\u00fcfen und regelm\u00e4\u00dfig die Liste der installierten Anwendungen mit den tats\u00e4chlich sichtbaren Apps im App-Drawer zu vergleichen.<\/p>\n\n\n\n

    Falls eine der betroffenen Apps bereits installiert wurde, sollten Nutzer sie sofort deinstallieren und einen vollst\u00e4ndigen Scan mit Google Play Protect oder einer anderen Sicherheitssoftware durchf\u00fchren.<\/p>\n\n\n\n

    <\/h3>\n\n\n\n

    Die Vapor-Kampagne zeigt erneut, dass selbst der offizielle Google Play Store keine absolute Sicherheit vor Malware bietet. Cyberkriminelle nutzen zunehmend raffinierte Methoden, um sch\u00e4dliche Apps zu verbreiten und Schutzmechanismen zu umgehen. Eine Kombination aus technischen Schutzma\u00dfnahmen und einem umsichtigen Nutzerverhalten bleibt der beste Weg, um sich vor solchen Bedrohungen zu sch\u00fctzen.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Eine gro\u00df angelegte Malware-Kampagne mit dem Namen “Vapor” hat \u00fcber 60 Millionen Downloads auf Google Play erreicht. Mehr als 300 […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[109,13],"tags":[213,148,119],"class_list":["post-844","post","type-post","status-publish","format-standard","hentry","category-cybersecurity","category-news","tag-android","tag-google","tag-malware"],"_links":{"self":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/posts\/844","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/comments?post=844"}],"version-history":[{"count":0,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/posts\/844\/revisions"}],"wp:attachment":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/media?parent=844"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/categories?post=844"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/tags?post=844"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}