GhostAd: Millionen Android-Nutzer von Adware-Kampagne betroffen

Sicherheitsforscher haben eine raffinierte neue Adware-Kampagne aufgedeckt, die millionenfach über den Google Play Store verbreitet wurde. Die als „GhostAd” bezeichnete Schadsoftware tarnte sich als harmlose Smartphone-Apps und bombardierte Nutzer mit unsichtbarer Werbung – auf Kosten von Akkulaufzeit und Datenvolumen.

Die Entdeckung durch das Sicherheitsunternehmen Check Point Research, die am Montag veröffentlicht wurde, zeigt das Ausmaß einer besorgniserregenden Entwicklung: Cyberkriminelle missbrauchen legitime Android-Funktionen, um ihre Schadsoftware am Leben zu halten. Eine der infizierten Apps kletterte sogar auf Platz 2 der meistgeladenen kostenlosen Tools im Play Store. Google hat die Apps inzwischen entfernt – doch der Fall wirft Fragen zur Sicherheit des offiziellen App-Stores auf.

Wie gelang es der Schadsoftware, unbemerkt zu bleiben? Die Entwickler von GhostAd setzten auf eine clevere Manipulation: Sie missbrauchten sogenannte „Foreground Services” – Android-Funktionen, die eigentlich für Apps wie Musik-Player oder Navigations-Apps gedacht sind, die dauerhaft im Hintergrund laufen müssen.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen, die genau vor Adware-Fällen wie GhostAd schützen. In einem kostenlosen Ratgeber finden Sie leicht verständliche, Schritt-für-Schritt-Anleitungen – etwa zur Kontrolle von Vordergrund-Diensten, zur Prüfung des Akkuverbrauchs und zum Erkennen leerer Benachrichtigungen. Mit Checklisten und konkreten Einstellungstipps können Sie Ihr Gerät sofort sicherer machen. Jetzt kostenloses Android-Sicherheits-Paket herunterladen

Die infizierten Apps zeigten eine leere, nicht entfernbare Benachrichtigung an. Für die meisten Nutzer wirkte das wie ein Systemfehler oder war schlicht unsichtbar. Tatsächlich verschaffte diese Benachrichtigung den Apps aber die Berechtigung, permanent aktiv zu bleiben – selbst nach dem Schließen oder Neustarten des Smartphones.

„Die Hartnäckigkeit beginnt in dem Moment, in dem die App startet”, erklären die Check Point-Forscher. Die Adware registrierte einen Vordergrund-Dienst, der kontinuierliche Ausführung garantierte – völlig unabhängig davon, was der Nutzer unternahm.

Selbstheilende Schadsoftware

Noch raffinierter: GhostAd nutzte die Android-JobScheduler-Funktion als „Selbstheilungsmechanismus”. Versuchte das Betriebssystem, den schädlichen Prozess zu beenden, um Speicher freizugeben, reaktivierte der Scheduler die Werbe-Funktionen binnen Sekunden automatisch. Ein endloser Kreislauf, den Nutzer kaum durchbrechen konnten.

Das eigentliche Ziel der Kampagne war Werbe-Betrug: Die Apps luden im Hintergrund massenhaft Werbeanzeigen, ohne dass Nutzer davon etwas mitbekamen. Die Drahtzieher kassierten für jeden Aufruf – während die Smartphones ihrer Opfer unter der Last zusammenbrachen.

„Es übernimmt dein Telefon wie ein Virus”

Die Folgen für betroffene Nutzer waren gravierend. Die permanente Hintergrundaktivität verhinderte, dass Geräte in den Energiesparmodus wechselten. Akkus leerten sich in Rekordzeit, Datenvolumen wurden aufgebraucht, und die Geräte reagierten träge auf Eingaben.

In den Bewertungen im Play Store – die viele Nutzer erst zu spät lasen – häuften sich verzweifelte Kommentare: „Es übernimmt dein Telefon wie ein Virus”, schrieb ein frustrierter Nutzer. Ein anderer klagte: „Die schlimmste App, die ich je benutzt habe – sie verletzt meine Privatsphäre und übernimmt andere Apps für Werbung.”

Besonders betroffen waren Nutzer in Ost- und Südostasien, vor allem auf den Philippinen, in Pakistan und Malaysia. Doch die Apps waren weltweit verfügbar – Opfer gab es auch in Europa, Afrika und Israel.

Google reagiert – aber zu spät?

Nach der Veröffentlichung durch Check Point handelte Google schnell. Alle identifizierten Apps wurden aus dem Play Store entfernt. Google Play Protect, das integrierte Sicherheitssystem auf Android-Geräten, wurde aktualisiert und deaktiviert die Schadsoftware nun automatisch – auch auf Smartphones, die sie bereits vor der Sperrung heruntergeladen hatten.

Der Vorfall zeigt jedoch ein grundsätzliches Problem: Die GhostAd-Entwickler nutzten legitime Werbe-SDKs großer Anbieter, implementierten sie aber auf missbräuchliche Weise. Dadurch umgingen sie monatelang automatisierte Sicherheitschecks. Ein klassisches Katz-und-Maus-Spiel zwischen Sicherheitsteams und Cyberkriminellen.

Grauzone statt klassische Malware

GhostAd repräsentiert eine neue Generation von Schadsoftware, die Experten als „Gray-Ware” bezeichnen: Software, die technisch gesehen kein klassischer Virus ist – sie stiehlt keine Passwörter, löscht keine Daten –, aber weit mehr schadet als eine bloße Störung.

„GhostAd zeigt, wie legitime Werbe-Infrastruktur in ein großflächiges Missbrauchsnetzwerk verwandelt werden kann – ganz ohne Exploits”, heißt es im Check Point-Bericht. Diese Methode ermöglicht es Kriminellen, sofort durch Werbeeinnahmen zu profitieren, statt erst Nutzerdaten sammeln und verkaufen zu müssen.

Wie können sich Nutzer schützen?

Auch wenn die akute Bedrohung durch GhostAd gebannt ist, dürften ähnliche Kampagnen folgen. Sicherheitsexperten raten Smartphone-Nutzern zu erhöhter Wachsamkeit – selbst bei Apps aus offiziellen Quellen:

• Bewertungen kritisch lesen: Besonders auf aktuelle Ein-Stern-Reviews achten, die Akku-Probleme oder aufdringliche Werbung erwähnen
• Leere Benachrichtigungen hinterfragen: Dauerhafte Benachrichtigungen ohne Inhalt sind verdächtig
• Akkuverbrauch regelmäßig prüfen: In den Geräteeinstellungen kontrollieren, welche Apps am meisten Energie verbrauchen

Da Google die Regeln für Vordergrund-Dienste in kommenden Android-Versionen verschärfen will, werden Adware-Entwickler nach neuen Wegen suchen. Bleibt die Frage: Kann der Play Store mit der Kreativität der Cyberkriminellen Schritt halten?

PS: Sie möchten sicherstellen, dass Apps nicht heimlich im Hintergrund Werbung laden und Akku sowie Datenvolumen leersaugen? Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Android in klaren Schritten und zeigt, welche Einstellungen sofort Wirkung zeigen. Holen Sie sich die Praxis-Checkliste und schützen Sie Ihr Smartphone vor künftigen GhostAd‑ähnlichen Kampagnen. Kostenlosen Android-Schutz-Guide anfordern