AppXpose AppXpose
← All posts ← Alle Beiträge
· AppXpose · App Safety · Android Privacy · Permissions · Tracker Detection · App Audit

How to Check If an Android App Is Safe Before Installing So prüfst du ob eine Android App sicher ist, bevor du sie installierst

Before you install any Android app, here is how to check if it is safe: permissions, trackers, developer reputation, and what Google Play does not tell you. Bevor du eine Android App installierst, so prüfst du ob sie sicher ist: Berechtigungen, Tracker, Entwickler-Reputation und was Google Play dir nicht sagt.

Most people tap Install and move on. The Play Store shows a green badge, a star rating, and a million downloads. That feels like enough.

It is not. Google’s Data Safety labels are self-reported by developers and, according to Mozilla’s 2023 audit, inaccurate in roughly 80% of cases. The star rating tells you whether the app crashes, not whether it is safe. The download count tells you it is popular. Popular and safe are different things. Here is how to actually check.

Step 1: Read the Permissions Before Installing

Before you tap Install, scroll down on the Play Store listing to the “About this app” section. Tap “App permissions” at the bottom. This shows you every permission the app will request.

What to look for: microphone, camera, contacts, precise location, phone state, call logs. These are what Android classifies as “dangerous permissions.” They are not inherently bad. A navigation app needs location. A video calling app needs camera and microphone. The question is whether the permission matches the function.

A flashlight app requesting microphone access is not just suspicious. It is a clear signal that something else is going on. A calculator asking for your contacts has no legitimate reason to do so. We wrote a full breakdown of how to evaluate permission requests and what the common traps are.

The key habit: if an app asks for something it should not need, do not install it. There is always an alternative that does not.

Step 2: Check the Developer

Scroll up to the developer name at the top of the listing. Tap it to see their full profile: other apps they have published, their website, their contact email.

What to look for:

  • Is the name a real company or a random string? “Shenzhen Hawk Internet Co.” publishes apps. So does “asdfjkl games.” One of those is easier to trace if something goes wrong.
  • How many other apps do they have? A developer with 40 nearly identical utility apps is farming installs, not building software.
  • When was the app last updated? An app that has not been updated in two years is either abandoned or not being maintained against security patches.
  • Do they respond to reviews? Legitimate developers engage with user feedback. Abandoned or fraudulent apps do not.

Shady developers often publish multiple copycat apps targeting the same search terms. If you see five “PDF Scanner Pro” apps from the same publisher, that is not a product line. That is a funnel.

Step 3: Read the Reviews Carefully

Ignore the star rating. A 4.2 tells you nothing useful. Open the reviews and sort by most recent, then scroll to the 1-star and 2-star entries.

The reviews that matter contain specifics: “started showing ads after the first week,” “asked for camera permission after update,” “battery drain got worse after the last version,” “can’t uninstall without disabling device admin.”

These are user reports of real behavior changes. A pattern of similar complaints is more informative than any marketing copy. Look especially for reviews that mention permission changes after updates. That is a common vector for spyware-like behavior on Android.

Step 4: Check the Privacy Label (But Do Not Trust It)

Google’s Data Safety section appears on every Play Store listing. It shows what data the app collects, whether it shares data with third parties, and whether data is encrypted.

The problem: it is entirely self-reported. Google does not verify any of it. Developers fill out a form, and whatever they write appears on the listing. Mozilla’s “Privacy Not Included” team compared these labels to actual app behavior across hundreds of apps in 2023. The labels were inaccurate or misleading in roughly 80% of cases. Developers declare “no data shared with third parties” while bundling six advertising SDKs that do exactly that.

We covered what four independent studies actually found about app store claims in detail. The short version: the labels are not lying in the criminal sense. They are just not checked, not enforced, and not reliable.

Read the label. Note what it claims. Then verify it with something that looks at the actual code.

Step 5: Scan the APK Before or After Installing

This is the most reliable step and the one most people skip.

Static analysis reads the compiled bytecode inside an APK and matches it against known tracker signatures, permission patterns, and code structures. It does not depend on what the developer claims. It checks what the compiler actually packaged.

AppXpose runs this analysis locally on your device. It reads DEX bytecode from the installed APK, matches against 174 verified tracker signatures, checks APK signing integrity, and cross-references against malware databases. No upload, no cloud processing, no account. The scan takes about three seconds. You can read how the full detection pipeline and scoring model works.

For apps you have already installed, this is straightforward. For apps you are considering, install them and scan before opening. The scan reads the package. It does not need the app to run. If you want a deeper technical walkthrough, we covered how to find hidden trackers in Android apps step by step.

Red Flags That Mean Do Not Install

Some signals should stop you immediately:

  • The app requests permissions completely unrelated to its function
  • The developer has no other apps or registered their account very recently
  • The Data Safety label says “No data collected” but the app requests microphone, camera, or location
  • The app is a clone of a popular app with a slightly different name or icon
  • There is no privacy policy link on the listing
  • The app has not been updated in over two years
  • Reviews mention behavior changes after updates, especially around permissions or ads
  • The APK size is unusually large for what the app does (a flashlight at 80MB is carrying extra cargo)

None of these alone proves an app is malicious. But two or three together should make you close the listing and look elsewhere.

Apps That Look Safe But Are Not

The hardest cases are the ones that pass every surface check. Millions of downloads. Recent updates. Real developer. Decent reviews. And 30 trackers inside.

In the AppXpose corpus, “AI Browser - Safe & Fast” contains 30 tracking SDKs despite the name explicitly promising safety. Finance apps average 13.5 trackers per app. Your banking app likely contains more tracking code than most social media apps. Weather apps, which should be among the simplest, hit 20 trackers just to show you a forecast.

Even apps from major companies are not clean. Facebook’s scan results show a HIGH risk profile with multiple advertising and analytics SDKs. These are not bugs. They are business models. The app is free because your behavioral data pays for it.

You can explore the full research data covering 3,745 analyzed apps to see the category breakdowns and the most tracker-heavy apps in the corpus.

Before You Install: A Quick Checklist

  1. Check permissions in the Play Store listing. Do they match the app’s function?
  2. Tap the developer name. Google them. Check their other apps.
  3. Read the 1-star reviews. Look for patterns about permissions, ads, or battery drain.
  4. Check the last update date. Anything over a year old is a risk.
  5. Scan with AppXpose after installing. See what is actually inside before you open it.

Installing an app takes two seconds. Checking whether it is safe takes two minutes. Most people skip those two minutes and spend the next two years with 12 trackers running in the background.

The information is there. The tools exist. The only missing piece is the habit.

If you want to start building it, AppXpose is free on Google Play. Five scans a week, full results, no account required.

Die meisten tippen auf Installieren und machen weiter. Der Play Store zeigt ein grünes Abzeichen, eine Sternebewertung und eine Million Downloads. Das fühlt sich ausreichend an.

Ist es nicht. Googles Data-Safety-Labels werden von Entwicklern selbst ausgefüllt und sind laut Mozillas Audit von 2023 in etwa 80% der Fälle ungenau. Die Sternebewertung sagt dir, ob die App abstürzt, nicht ob sie sicher ist. Die Download-Zahl sagt dir, dass sie beliebt ist. Beliebt und sicher sind verschiedene Dinge. So prüfst du es wirklich.

Schritt 1: Berechtigungen vor der Installation lesen

Bevor du auf Installieren tippst, scrolle im Play-Store-Eintrag nach unten zum Bereich “Über diese App”. Tippe auf “App-Berechtigungen” am Ende. Dort siehst du jede Berechtigung, die die App anfordern wird.

Worauf du achten solltest: Mikrofon, Kamera, Kontakte, genauer Standort, Telefonstatus, Anruflisten. Das sind die Berechtigungen, die Android als “gefährlich” einstuft. Sie sind nicht grundsätzlich schlecht. Eine Navigations-App braucht den Standort. Eine Videoanruf-App braucht Kamera und Mikrofon. Die Frage ist, ob die Berechtigung zur Funktion passt.

Eine Taschenlampen-App, die Mikrofon-Zugriff anfordert, ist nicht nur verdächtig. Es ist ein klares Signal, dass etwas anderes passiert. Ein Taschenrechner, der deine Kontakte will, hat keinen legitimen Grund dafür. Wir haben eine vollständige Aufschlüsselung geschrieben, wie man Berechtigungsanfragen bewertet und welche typischen Fallen es gibt.

Die wichtigste Gewohnheit: Wenn eine App etwas anfordert, was sie nicht brauchen sollte, installiere sie nicht. Es gibt immer eine Alternative, die das nicht tut.

Schritt 2: Den Entwickler prüfen

Scrolle nach oben zum Entwicklernamen am Anfang des Eintrags. Tippe darauf, um das vollständige Profil zu sehen: andere veröffentlichte Apps, Website, Kontakt-E-Mail.

Worauf du achten solltest:

  • Ist der Name ein echtes Unternehmen oder eine zufällige Zeichenkette? “Shenzhen Hawk Internet Co.” veröffentlicht Apps. “asdfjkl games” auch. Eines davon ist leichter nachzuverfolgen, wenn etwas schiefgeht.
  • Wie viele andere Apps haben sie? Ein Entwickler mit 40 fast identischen Utility-Apps betreibt Install-Farming, nicht Software-Entwicklung.
  • Wann wurde die App zuletzt aktualisiert? Eine App, die seit zwei Jahren kein Update hatte, ist entweder aufgegeben oder wird nicht gegen Sicherheitslücken gepflegt.
  • Antworten sie auf Bewertungen? Seriöse Entwickler reagieren auf Nutzerfeedback. Aufgegebene oder betrügerische Apps nicht.

Dubiose Entwickler veröffentlichen oft mehrere Klon-Apps, die auf dieselben Suchbegriffe abzielen. Wenn du fünf “PDF Scanner Pro”-Apps vom selben Herausgeber siehst, ist das keine Produktlinie. Das ist ein Trichter.

Schritt 3: Die Bewertungen sorgfältig lesen

Ignoriere die Sternebewertung. Eine 4,2 sagt dir nichts Nützliches. Öffne die Bewertungen und sortiere nach den neuesten, dann scrolle zu den 1-Stern- und 2-Stern-Einträgen.

Die Bewertungen, die zählen, enthalten Konkretes: “hat nach der ersten Woche angefangen Werbung zu zeigen”, “hat nach dem Update Kamera-Berechtigung angefordert”, “Akkuverbrauch wurde nach der letzten Version schlimmer”, “lässt sich nicht deinstallieren ohne Geräteadministration zu deaktivieren.”

Das sind Nutzerberichte über echte Verhaltensänderungen. Ein Muster ähnlicher Beschwerden ist informativer als jeder Marketing-Text. Achte besonders auf Bewertungen, die Berechtigungsänderungen nach Updates erwähnen. Das ist ein häufiger Vektor für spyware-ähnliches Verhalten auf Android.

Schritt 4: Das Datenschutz-Label prüfen (aber nicht vertrauen)

Googles Data-Safety-Bereich erscheint auf jedem Play-Store-Eintrag. Er zeigt, welche Daten die App sammelt, ob sie Daten mit Dritten teilt und ob Daten verschlüsselt werden.

Das Problem: Alles ist komplett selbst angegeben. Google verifiziert nichts davon. Entwickler füllen ein Formular aus, und was sie schreiben, erscheint im Eintrag. Mozillas “Privacy Not Included”-Team verglich diese Labels mit dem tatsächlichen App-Verhalten bei Hunderten von Apps im Jahr 2023. Die Labels waren in etwa 80% der Fälle ungenau oder irreführend. Entwickler geben an, “keine Daten an Dritte weiterzugeben”, während sie sechs Werbe-SDKs bündeln, die genau das tun.

Wir haben ausführlich beschrieben, was vier unabhängige Studien tatsächlich über App-Store-Behauptungen herausgefunden haben. Die Kurzversion: Die Labels lügen nicht im strafrechtlichen Sinne. Sie werden nur nicht geprüft, nicht durchgesetzt und sind nicht zuverlässig.

Lies das Label. Notiere, was es behauptet. Dann verifiziere es mit etwas, das den tatsächlichen Code untersucht.

Schritt 5: Die APK vor oder nach der Installation scannen

Das ist der zuverlässigste Schritt und derjenige, den die meisten überspringen.

Statische Analyse liest den kompilierten Bytecode in einer APK und gleicht ihn mit bekannten Tracker-Signaturen, Berechtigungsmustern und Code-Strukturen ab. Sie hängt nicht davon ab, was der Entwickler behauptet. Sie prüft, was der Compiler tatsächlich verpackt hat.

AppXpose führt diese Analyse lokal auf deinem Gerät durch. Es liest DEX-Bytecode aus der installierten APK, gleicht gegen 174 verifizierte Tracker-Signaturen ab, prüft die APK-Signatur-Integrität und referenziert gegen Malware-Datenbanken. Kein Upload, keine Cloud-Verarbeitung, kein Account. Der Scan dauert etwa drei Sekunden. Du kannst nachlesen, wie die vollständige Erkennungs-Pipeline und das Bewertungsmodell funktionieren.

Für bereits installierte Apps ist das unkompliziert. Für Apps, die du in Betracht ziehst: installiere sie und scanne vor dem Öffnen. Der Scan liest das Paket. Die App muss nicht laufen. Wenn du eine tiefere technische Anleitung möchtest, haben wir beschrieben, wie man versteckte Tracker in Android Apps findet, Schritt für Schritt.

Warnsignale: Nicht installieren

Einige Signale sollten dich sofort stoppen:

  • Die App fordert Berechtigungen an, die nichts mit ihrer Funktion zu tun haben
  • Der Entwickler hat keine anderen Apps oder hat sein Konto erst kürzlich registriert
  • Das Data-Safety-Label sagt “Keine Daten erhoben”, aber die App fordert Mikrofon, Kamera oder Standort an
  • Die App ist ein Klon einer beliebten App mit leicht anderem Namen oder Symbol
  • Es gibt keinen Link zu einer Datenschutzerklärung im Eintrag
  • Die App wurde seit über zwei Jahren nicht aktualisiert
  • Bewertungen erwähnen Verhaltensänderungen nach Updates, besonders bei Berechtigungen oder Werbung
  • Die APK-Größe ist ungewöhnlich groß für das, was die App tut (eine Taschenlampe mit 80MB transportiert zusätzliche Fracht)

Keines davon allein beweist, dass eine App bösartig ist. Aber zwei oder drei zusammen sollten dich dazu bringen, den Eintrag zu schließen und woanders zu suchen.

Apps die sicher aussehen, aber es nicht sind

Die schwierigsten Fälle sind diejenigen, die jede oberflächliche Prüfung bestehen. Millionen Downloads. Aktuelle Updates. Echter Entwickler. Ordentliche Bewertungen. Und 30 Tracker drin.

Im AppXpose-Korpus enthält “AI Browser - Safe & Fast” 30 Tracking-SDKs, obwohl der Name explizit Sicherheit verspricht. Finanz-Apps haben durchschnittlich 13,5 Tracker pro App. Deine Banking-App enthält wahrscheinlich mehr Tracking-Code als die meisten Social-Media-Apps. Wetter-Apps, die zu den einfachsten gehören sollten, erreichen 20 Tracker, nur um dir eine Vorhersage zu zeigen.

Selbst Apps von großen Unternehmen sind nicht sauber. Facebooks Scan-Ergebnisse zeigen ein HIGH-Risikoprofil mit mehreren Werbe- und Analytics-SDKs. Das sind keine Bugs. Das sind Geschäftsmodelle. Die App ist kostenlos, weil deine Verhaltensdaten dafür bezahlen.

Du kannst die vollständigen Forschungsdaten aus 3.745 analysierten Apps durchsuchen, um die Kategorie-Aufschlüsselungen und die tracker-lastigsten Apps im Korpus zu sehen.

Vor der Installation: Eine schnelle Checkliste

  1. Berechtigungen im Play-Store-Eintrag prüfen. Passen sie zur Funktion der App?
  2. Auf den Entwicklernamen tippen. Googeln. Andere Apps prüfen.
  3. Die 1-Stern-Bewertungen lesen. Nach Mustern bei Berechtigungen, Werbung oder Akkuverbrauch suchen.
  4. Datum des letzten Updates prüfen. Alles über ein Jahr alt ist ein Risiko.
  5. Nach der Installation mit AppXpose scannen. Sieh, was wirklich drin ist, bevor du die App öffnest.

Eine App zu installieren dauert zwei Sekunden. Zu prüfen, ob sie sicher ist, dauert zwei Minuten. Die meisten überspringen diese zwei Minuten und verbringen die nächsten zwei Jahre mit 12 Trackern, die im Hintergrund laufen.

Die Information ist da. Die Tools existieren. Das einzige fehlende Stück ist die Gewohnheit.

Wenn du anfangen willst, sie aufzubauen: AppXpose ist kostenlos im Google Play Store. Fünf Scans pro Woche, vollständige Ergebnisse, kein Account nötig.