Grüne Häkchen sind keine Entwarnung
Viele Menschen und Dienste greifen für die Überprüfung von Apps auf den Service von VirusTotal zurück. Dieser hat die Scanner von über 60 Security-Anbietern eingebunden – was unter anderem auch das Erkennen sogenannter »False Positives« ermöglicht: Schlägt ein Scanner an, alle anderen aber nicht, ist dies üblicherweise ein Hinweis auf einen Fehlalarm.
Das kleine grüne Häkchen bei VirusTotal wirkt dabei schnell wie Entwarnung. Tatsächlich bedeutet es aber nur, dass die jeweilige Engine nichts erkannt hat – nicht, dass die Datei garantiert harmlos ist.

Als erster Hinweis funktioniert das oft brauchbar. Was aber, wenn plötzlich mehrere Scanner eine APK als schädlich bzw. unerwünscht, also malicious, PUA (potenziell unerwünschte Anwendung) oder Trojan, einstufen? Ist da dann etwas dran?
Gastbeitrag von Andreas Itzchak Rehberg
Itzchak, auch bekannt als IzzyOnDroid, betreibt sein eigenes F-Droid Repository, bietet Schulungen und Workshops an und ist freier Autor für das c’t Magazin.
Feedback und Fragen können direkt an ihn gerichtet werden. Er freut sich auch über Spenden für seine Arbeit.
Bei IzzyOnDroid ist uns aufgefallen, dass dies besonders häufig bei SMS-Apps passiert – insbesondere, wenn diese auch über die INTERNET-Berechtigung verfügen, zum Beispiel für SMS-Weiterleitung. Solche Apps sind dann recht schnell als »Banking-Trojaner« markiert, sie könnten ja entsprechende Bank-SMS abgreifen.
Da die Apps quelloffen sind, lässt sich zumindest nachvollziehen, ob der Quellcode Hinweise auf ein solches Verhalten enthält. Noch stärker wäre dieser Nachweis bei reproduzierbaren Builds oder wenn die konkrete APK dem geprüften Quellcode eindeutig zugeordnet werden kann. Sowohl F-Droid als auch IzzyOnDroid unterstützen reproduzierbare Builds. Bei IzzyOnDroid sind derzeit, Stand Juli 2026, mehr als zwei Drittel der Apps mit solchen abgesichert, bei F-Droid etwa ein Drittel.
Eine App ist nur sauber, wenn sie im Play Store ist
In einem konkreten Fall sind wir der Sache daher auf den Grund gegangen. Der Entwickler der App hat alle betroffenen Anbieter kontaktiert, ihnen ausführliche Details gegeben und um Korrektur gebeten. Während einige wenig später die Korrektur bestätigten, weigerte sich zumindest einer hartnäckig – mit einer interessanten Begründung:
as per our internal protocol, we are unable to proceed with the whitelisting process unless the application is available on the Google Play Store.
Auf Deutsch:
Gemäß unseres internen Protokolls können wir mit dem Whitelisting nicht fortfahren, solange die App nicht im Google Play Store gelistet ist.
Und das, obwohl die Tatsachen eine andere Sprache sprechen: Während mir für F-Droid und IzzyOnDroid kein belastbar dokumentierter Fall bekannt ist, der mit den immer wieder auftauchenden Malware-Funden im Play Store vergleichbar wäre, findet man über den Play Store immer wieder Artikel über hunderte Apps, die dort gelöscht werden mussten, weil sie Millionen von Geräten infiziert hatten. Aktuellere Beispiele sind etwa 77 Malware-Apps mit 19 Millionen Installationen, Malware mit Angriff auf deutsche Bankkunden oder massenhaft verbreitete Android-Malware über Google Play. Da verwundert eine solche Aussage besonders.
Ist da was dran? Wir machen einen POC
Neugierig geworden, wollte ich einmal schauen: Was macht eine solche APK-Datei zur Malware? Für die genannte App habe ich das also einmal ausprobiert:
- Der Scan der originalen APK-Datei brachte 7 Treffer.
- Die Datei wurde in
test17.zipumbenannt. Anschließend wurden aus dem ArchivAndroidManifest.xml,META-INF/sowiekotlin-tooling-metadata.jsonentfernt: 0 Treffer. - Analog, aber dieses Mal mit enthaltenem
AndroidManifest.xml: Die ursprünglichen 7 Treffer sind zurück. - Nochmals, diesmal aber nur das
AndroidManifest.xmlaus der ZIP-Datei entfernt: 0 Treffer.
Ist also nur das AndroidManifest.xml »böse«? Probe aufs Exempel: Eine ZIP-Datei erstellt, die ausschließlich das AndroidManifest.xml enthält. Ergebnis: 2 Treffer – einschließlich des Anbieters, der auf einem Google-Play-Listing bestand.
Diese Datei enthält lediglich Metadaten der App, also etwa wie die App heißt, um welche Version es sich handelt, welche Berechtigungen sie benötigt und Ähnliches. Für sich allein kann sie keinerlei Schaden anrichten.
Einige Scanner scheinen in diesem Fall also stark auf Metadaten und Berechtigungen zu reagieren – ohne dass dafür tatsächlich schädlicher Code in der Datei enthalten sein müsste.
Nachdem wir mit einem Fediverse-Post, der zahlreiche Boosts und Likes bekam, der Sache etwas Aufmerksamkeit verschafft hatten, standen plötzlich sämtliche Lämpchen auf grün: kein einziger Treffer mehr. Dass die App nach wie vor nicht im Google Play Store gelistet ist und wahrscheinlich auch nie sein wird, spielte plötzlich keine Rolle mehr.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
Mitmachen ➡
Also alles Quatsch – oder was?
Aus einem einzigen Beispiel sollte man nicht allzu viel ableiten. Wir haben den obigen POC für eine weitere SMS-App nachstellen wollen. Die Unterschiede waren dabei weniger dramatisch. Dennoch kann von diesem Fall mehreres gelernt werden:
- Den Scan-Ergebnissen kann man nicht blind vertrauen. Sie sind Indikatoren, dass man genauer hinschauen sollte – jedoch keine verbindlichen Fakten.
- Einige Anbieter scheinen ihre Ergebnisse auf einer recht fragwürdigen Basis zu ermitteln. In diesem Fall war das K7WG. Wenn nur ein einzelner solcher Scanner anschlägt, sollte man das Ergebnis daher besonders vorsichtig einordnen und nicht automatisch von einem tatsächlichen Befall ausgehen.
- Der Fall zeigt außerdem, wie problematisch es wird, wenn ein Play-Store-Listing faktisch als Vertrauensanker behandelt wird. Dann geraten freie App-Quellen wie F-Droid oder IzzyOnDroid schnell in eine schlechtere Ausgangsposition, obwohl ein Play-Store-Eintrag für sich genommen keine Sicherheitsgarantie ist.
Eine schon etwas ältere Studie zu Drittanbieter-App-Stores ist in diesem Zusammenhang ebenfalls interessant. Google kommt dort erst an achter Stelle – F-Droid an erster (IzzyOnDroid war damals noch zu jung, um mit untersucht zu werden):

Als kurzes Fazit wäre daher festzuhalten: Scanner liefern Hinweise, aber keine endgültige Bewertung.
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Gastbeitrag ➡
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leser ermöglicht. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Folge dem Blog
Neue Beiträge bekommst du per Mastodon, RSS oder E-Mail.