Stalkerware-Apps umgehen systematisch Kontrollen der App-Stores

Cambridge-Studie zeigt gravierende Lücken in der Sicherheitspolitik von Google Play & Co. auf – Plattformen in der Pflicht.

Eine bahnbrechende Studie der Universität Cambridge deckt auf, wie Entwickler von Überwachungs-Apps systematisch die Sicherheitsrichtlinien großer Plattformen wie dem Google Play Store unterlaufen. Die als Stalkerware bekannte Software tarnt sich als harmlose Kindersicherung, um heimlich Partner zu bespitzeln. Die Forschungsergebnisse, die am 26. Dezember vom Anti-Phishing Working Group (APWG) hervorgehoben wurden, stellen die Wirksamkeit aktueller Kontrollmechanismen fundamental infrage.

Die mit dem Best Student Paper Award ausgezeichnete Studie „Catch Me If You Scan“ analysiert eine raffinierte Taktik: „Malicious Compliance“ (bösartige Compliance). Anstatt Regeln zu ignorieren, passen Entwickler ihre Apps gerade so an, dass sie formal den Buchstaben der Richtlinien entsprechen – nicht aber ihren Geist.

Konkret funktioniert das so: Um die Erstprüfung im Store zu passieren, entfernen Anbieter vorübergehend die auffälligsten Spionage-Funktionen. Sobald die App auf dem Zielgerät installiert ist, werden die invasiven Features jedoch durch Updates nachgeladen, die den Store-Kontrollen entgehen. Diese „Köder-und-Austausch“-Methode verleiht der Stalkerware einen Anschein von Legitimität.

Viele Android-Nutzer übersehen genau diese fünf Schutzmaßnahmen – gerade weil Stalkerware oft als harmlose App startet und gefährliche Features später per Update nachlädt. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie App‑Berechtigungen prüfen, automatische Prüfungen einrichten, verdächtige Updates erkennen und Ihre Banking- sowie Messenger‑Apps schützen. Inklusive praktischer Checkliste und leicht umsetzbarer Anleitungen. Der Ratgeber kommt per E‑Mail und ist ideal für Nutzer mit BYOD oder privaten Smartphones. Gratis-Sicherheitspaket für Android anfordern

Statische Kontrollen sind zum Scheitern verurteilt

Die Forscher kommen zu einem vernichtenden Urteil: Statische Richtlinien-Updates sind gegen dynamisch agierende Gegner chancenlos. Obwohl Google und andere Plattformen Stalkerware offiziell verbieten, werden diese Maßnahmen „systematisch umgangen“.

Das Problem liegt im „Katz-und-Maus-Spiel“: Stores verbannen bestimmte Code-Signaturen, Entwickler verschleiern sie einfach. Die Studie zeigt, dass Stalkerware-Anbieter erhebliche Ressourcen in die strategische Neustrukturierung ihrer Apps investieren, etwa indem sie Funktionen auf mehrere Downloads aufteilen.

Alarmglocken für Compliance-Verantwortliche

Die Ehrung der Studie durch die APWG ist ein Weckruf für die Branche. Die Risiken gehen weit über den privaten Missbrauch hinaus. Für Unternehmen mit Mobile-Device-Management (MDM) oder Bring-Your-Own-Device (BYOD)-Richtlinien stellen solche Apps eine massive Datenschutzgefahr dar. Kompromittierte Mitarbeiter-Geräte könnten zum Einfallstor für den Diebstahl von Firmendaten werden.

Der APWG, eine Koalition aus Strafverfolgung und Privatwirtschaft, zeichnete die Forschung aus, weil sie die „anpassungsfähigen Fähigkeiten“ krimineller Ökosysteme beleuchtet. Der Zweitplatzierte des Preises beschäftigte sich mit Ransomware – ein Zeichen, dass sich die Bedrohungslandschaft stetig weiterentwickelt.

Paradigmenwechsel nötig: Verhaltensanalyse statt Code-Check

Die einhellige Meinung aus der Forschung lautet: Allein auf Store-Ebene ist das Problem nicht zu lösen. Für 2026 zeichnet sich ein Paradigmenwechsel ab. Die Zukunft liegt in der „Cross-Signal“-Intelligenz: Antiviren-Hersteller, App-Stores und Betriebssystem-Entwickler müssen Telemetriedaten austauschen, um Stalkerware verhaltensbasiert zu identifizieren.

Zugleich dürfte der regulatorische Druck auf Zahlungsabwickler und Hosting-Provider steigen, die diese „Dual-Use“-Apps unterstützen. Die Strategien der „bösartigen Compliance“ könnten bald auf ein robusteres, verhaltensbasiertes Abwehrnetz treffen. Bis dahin bleibt die Botschaft der Studie klar: Die Firewalls der App-Märkte sind löchrig. Neue Nutzungsbedingungen allein werden sie nicht schließen.

PS: Für Unternehmen mit MDM oder BYOD ist dieses Thema besonders brisant – kompromittierte Mitarbeitergeräte können schnell zum Einfallstor für Datendiebstahl werden. Dieses kostenlose Android-Sicherheits-Paket zeigt die wichtigsten Kontrollen für Firmengeräte, erklärt, welche Einstellungen Mitarbeiter sofort ändern sollten, und liefert Vorlagen für Sicherheits-Checks im Betrieb. Ideal für IT-Verantwortliche und betroffene Privatanwender. Jetzt Android-Schutzcheck für Privat & Firma herunterladen