Wie viel Verlass ist auf Malware-Scans für Android-Apps?

Malware-Scans für Android-AppsGrüne Häkchen sind keine Entwarnung

Viele Menschen und Dienste greifen für die Überprüfung von Apps auf den Service von VirusTotal zurück. Dieser hat die Scanner von über 60 Security-Anbietern eingebunden – was unter anderem auch das Erkennen sogenannter »False Positives« ermöglicht: Schlägt ein Scanner an, alle anderen aber nicht, ist dies üblicherweise ein Hinweis auf einen Fehlalarm.

Das kleine grüne Häkchen bei VirusTotal wirkt dabei schnell wie Entwarnung. Tatsächlich bedeutet es aber nur, dass die jeweilige Engine nichts erkannt hat – nicht, dass die Datei garantiert harmlos ist.

VirusTotal

Als erster Hinweis funktioniert das oft brauchbar. Was aber, wenn plötzlich mehrere Scanner eine APK als schädlich bzw. unerwünscht, also malicious, PUA (potenziell unerwünschte Anwendung) oder Trojan, einstufen? Ist da dann etwas dran?

Gastbeitrag von Andreas Itzchak Rehberg

Itzchak, auch bekannt als IzzyOnDroid, betreibt sein eigenes F-Droid Repository, bietet Schulungen und Workshops an und ist freier Autor für das c’t Magazin.

Feedback und Fragen können direkt an ihn gerichtet werden. Er freut sich auch über Spenden für seine Arbeit.

Bei IzzyOnDroid ist uns aufgefallen, dass dies besonders häufig bei SMS-Apps passiert – insbesondere, wenn diese auch über die INTERNET-Berechtigung verfügen, zum Beispiel für SMS-Weiterleitung. Solche Apps sind dann recht schnell als »Banking-Trojaner« markiert, sie könnten ja entsprechende Bank-SMS abgreifen.

Da die Apps quelloffen sind, lässt sich zumindest nachvollziehen, ob der Quellcode Hinweise auf ein solches Verhalten enthält. Noch stärker wäre dieser Nachweis bei reproduzierbaren Builds oder wenn die konkrete APK dem geprüften Quellcode eindeutig zugeordnet werden kann. Sowohl F-Droid als auch IzzyOnDroid unterstützen reproduzierbare Builds. Bei IzzyOnDroid sind derzeit, Stand Juli 2026, mehr als zwei Drittel der Apps mit solchen abgesichert, bei F-Droid etwa ein Drittel.

Eine App ist nur sauber, wenn sie im Play Store ist

In einem konkreten Fall sind wir der Sache daher auf den Grund gegangen. Der Entwickler der App hat alle betroffenen Anbieter kontaktiert, ihnen ausführliche Details gegeben und um Korrektur gebeten. Während einige wenig später die Korrektur bestätigten, weigerte sich zumindest einer hartnäckig – mit einer interessanten Begründung:

as per our internal protocol, we are unable to proceed with the whitelisting process unless the application is available on the Google Play Store.

Auf Deutsch:

Gemäß unseres internen Protokolls können wir mit dem Whitelisting nicht fortfahren, solange die App nicht im Google Play Store gelistet ist.

Und das, obwohl die Tatsachen eine andere Sprache sprechen: Während mir für F-Droid und IzzyOnDroid kein belastbar dokumentierter Fall bekannt ist, der mit den immer wieder auftauchenden Malware-Funden im Play Store vergleichbar wäre, findet man über den Play Store immer wieder Artikel über hunderte Apps, die dort gelöscht werden mussten, weil sie Millionen von Geräten infiziert hatten. Aktuellere Beispiele sind etwa 77 Malware-Apps mit 19 Millionen Installationen, Malware mit Angriff auf deutsche Bankkunden oder massenhaft verbreitete Android-Malware über Google Play. Da verwundert eine solche Aussage besonders.

Ist da was dran? Wir machen einen POC

Neugierig geworden, wollte ich einmal schauen: Was macht eine solche APK-Datei zur Malware? Für die genannte App habe ich das also einmal ausprobiert:

  • Der Scan der originalen APK-Datei brachte 7 Treffer.
  • Die Datei wurde in test17.zip umbenannt. Anschließend wurden aus dem Archiv AndroidManifest.xml, META-INF/ sowie kotlin-tooling-metadata.json entfernt: 0 Treffer.
  • Analog, aber dieses Mal mit enthaltenem AndroidManifest.xml: Die ursprünglichen 7 Treffer sind zurück.
  • Nochmals, diesmal aber nur das AndroidManifest.xml aus der ZIP-Datei entfernt: 0 Treffer.

Ist also nur das AndroidManifest.xml »böse«? Probe aufs Exempel: Eine ZIP-Datei erstellt, die ausschließlich das AndroidManifest.xml enthält. Ergebnis: 2 Treffer – einschließlich des Anbieters, der auf einem Google-Play-Listing bestand.

Diese Datei enthält lediglich Metadaten der App, also etwa wie die App heißt, um welche Version es sich handelt, welche Berechtigungen sie benötigt und Ähnliches. Für sich allein kann sie keinerlei Schaden anrichten.

Einige Scanner scheinen in diesem Fall also stark auf Metadaten und Berechtigungen zu reagieren – ohne dass dafür tatsächlich schädlicher Code in der Datei enthalten sein müsste.

Nachdem wir mit einem Fediverse-Post, der zahlreiche Boosts und Likes bekam, der Sache etwas Aufmerksamkeit verschafft hatten, standen plötzlich sämtliche Lämpchen auf grün: kein einziger Treffer mehr. Dass die App nach wie vor nicht im Google Play Store gelistet ist und wahrscheinlich auch nie sein wird, spielte plötzlich keine Rolle mehr.

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

Also alles Quatsch – oder was?

Aus einem einzigen Beispiel sollte man nicht allzu viel ableiten. Wir haben den obigen POC für eine weitere SMS-App nachstellen wollen. Die Unterschiede waren dabei weniger dramatisch. Dennoch kann von diesem Fall mehreres gelernt werden:

  • Den Scan-Ergebnissen kann man nicht blind vertrauen. Sie sind Indikatoren, dass man genauer hinschauen sollte – jedoch keine verbindlichen Fakten.
  • Einige Anbieter scheinen ihre Ergebnisse auf einer recht fragwürdigen Basis zu ermitteln. In diesem Fall war das K7WG. Wenn nur ein einzelner solcher Scanner anschlägt, sollte man das Ergebnis daher besonders vorsichtig einordnen und nicht automatisch von einem tatsächlichen Befall ausgehen.
  • Der Fall zeigt außerdem, wie problematisch es wird, wenn ein Play-Store-Listing faktisch als Vertrauensanker behandelt wird. Dann geraten freie App-Quellen wie F-Droid oder IzzyOnDroid schnell in eine schlechtere Ausgangsposition, obwohl ein Play-Store-Eintrag für sich genommen keine Sicherheitsgarantie ist.

Eine schon etwas ältere Studie zu Drittanbieter-App-Stores ist in diesem Zusammenhang ebenfalls interessant. Google kommt dort erst an achter Stelle – F-Droid an erster (IzzyOnDroid war damals noch zu jung, um mit untersucht zu werden):

Understanding the Security Management of Global Third-Party Android Marketplaces

Als kurzes Fazit wäre daher festzuhalten: Scanner liefern Hinweise, aber keine endgültige Bewertung.

Über den Autor | Gastbeitrag

Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.

Gastbeitrag ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leser ermöglicht. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Neue Beiträge bekommst du per Mastodon, RSS oder E-Mail.