2573410

Android-Apps stehlen Bankdaten: Vorsicht vor Malware im Play Store

13.03.2021 | 09:18 Uhr | Frank Ziemann

Google hat mehrere Apps aus Google Play entfernt, die nach einem Update zu Schadprogrammen mutieren. Sie schleusen Malware ein, die Bankdaten ausspionieren soll.

Das Sicherheitsunternehmen Check Point hat mehrere schädliche Apps in Google Play entdeckt, die Googles initiale Prüfungen unterlaufen haben. Die Apps geben sich zunächst harmlos und kommen als VPN-Software, Media Player oder Barcode-Scanner daher. Diese Funktionalität haben die Macher aus legitimen Open-Source-Apps kopiert und unter einem Fake-Account neu bei Google Play eingestellt. So sind sie zunächst durch die Prüfung bei Play Protect gerutscht.

Clast82-Malware-Apps
Vergrößern Clast82-Malware-Apps

Nach einem Software-Update haben die Fake-Apps ihr Verhalten geändert und ein Malware-Dropper namens Clast82 wird aktiv. Der installiert zum Beispiel das Trojanische Pferd AlienBot, der Zugangsdaten fürs Online-Banking ausspioniert. Mit dem Remote Access Tool MRAT haben die Täter versucht, die Kontrolle über die betroffenen Smartphones zu übernehmen. So könnten sie etwa auch SMS-TANs abfangen.

Beim Herunterladen der Malware versuchen die Kriminellen, weitere Schutzvorkehrungen zu umgehen. Ist das Android-Gerät so konfiguriert, dass App-Downloads aus unbekannten Quellen blockiert werden, penetriert Clast82 die Benutzer im 5-Sekunden-Takt mit Aufforderungen, die Installation zuzulassen. Diese Aufforderungen sollen den Eindruck erwecken, sie kämen von Google Play.

GitHub-Repositories der Fake-Apps
Vergrößern GitHub-Repositories der Fake-Apps

[Update:] Die oben abgebildete Liste der trojanisierten Apps ist nicht notwendigerweise vollständig, zeigt eine Momentaufnahme, die Check Point veröffentlicht hat. Es gibt zu jeder dieser Fake-Apps auch eine legitime, quelloffene App gleichen oder sehr ähnlichen Namens, die weiterhin bei Google Play angeboten wird. [/Update]

Die Apps dieser Malware-Kampagne wurden zwar über verschiedene Entwickler-Accounts bei Google Play angeboten, alle weisen jedoch dieselbe Mail-Adresse auf und verweisen für die vorgeschriebene Datenschutzerklärung auf dasselbe GitHub-Repository. Mail-Adresse und Repository gehören laut Check Point zu derselben Person. Auch die Malware lädt Clast82 aus einem GitHub-Repository dieser Person.

Anti-Malware für Android im Test

Google hat inzwischen alle von Check Point als zu dieser Malware-Kampagne gehörend identifizierten Apps aus dem Play Store entfernt. Dieser Fall zeigt, dass die Prüfungen vor der erstmaligen Freigabe einer App in Google Play nicht reichen, um Malware von Android-Geräten fernzuhalten. Es ist also durchaus sinnvoll, Smartphones und Tablets mit zusätzlichen Schutzprogrammen abzusichern.

PC-WELT Marktplatz

2573410