Datenstehlende Schadsoftware in Google Play Store entdeckt

Android-Nutzer erneut in Gefahr: Downloader in Google Play Store verbreiten Schadsoftware, die Facebook-Passwörter stehlen

Eine neue Variante von Android-Viren wurde im Google Play Store entdeckt. Sie nutzt Social-Engineering-Methoden, um zum Herunterladen schädlicher Apps zu überlisten. Die Schadsoftware visiert englische und vietnamesische Nutzer an und beabsichtigt Facebook-Anmeldedaten zu stehlen.

Sicherheitsfirma Avast entdeckte mehrere Downloader, die sich als Entertainment- und Lifestyle-Apps ausgeben, wie bspw. Recorder oder Schachspiele. Einmal installiert, veranlassen die Apps die Installation bösartiger Apps, die andere schädliche Aktivitäten durchführen.

Glücklicherweise wurden die Apps bereits von Google Play entfernt und die Entwickler gesperrt. Es ist nicht bekannt, wie viele unter der Android-Schadsoftware litten. Forscher vermuten, dass die Android-Schadsoftware aus Vietnam stammt, da die schädlichen Apps die Namen von Anwendungen nutzten, die in dieser Region beliebt sind.

Schädliche Apps fragen nach Adminrechten

Die schädlichen Apps konnten die Sicherheitsmechanismen von Google umgehen, weil die Downloader keine schädlichen Features aufwiesen. Sie sind jedoch so entworfen, dass sie schädliche Komponenten herunterladen und illegale Aufgaben durchführen, sobald sie auf einem Android-Smartphone installiert sind.

Am verdächtigsten ist, dass die schädlichen Apps Adminrechte benötigen. Wenn man diese verweigert, wird eine gefälschte Fehlermeldung im Stil von Google Play angezeigt. Die Gauner haben hierfür ein echt aussehendes Dialogfenster entworfen, das beim Öffnen von beliebigen Apps auftaucht. Die Meldung besagt:

Service error!
Google Play services has been
disabled by the system or a
third party.
Please enable to avoid unwanted
bugs!

Klickt man im Pop-up auf „Activate“, soll man der schädlichen App vollen Zugriff zum Gerät geben. Die Fehlermeldung verhindert folglich den Zugriff auf die benötigten Apps und ist damit ein großer Störfaktor. Es besteht also kein Zweifel, dass Betroffene früher oder später der Schadsoftware geben, was sie will.

Android-Schadsoftware stiehlt Standortdaten und Facebook-Login

Wenn die Android-Viren Zugriff zum Gerät bekommen, informieren sie ihren C&C-Server über den Erfolg. Anschließend prüfen sie die Geräte-ID, den Standort (IP-Adresse), die Sprache, den Mobilfunkbetreiber und die Bildschirmparameter und senden die Werte zu den Servern.

Zusätzlich können die schädlichen Apps Klickbetrug betreiben. Forschungen von Avast zeigen, dass die Apps eine Reihe von Werbeplattformen beinhalten. Es können nicht nur Anzeigen oder Videowerbung eingeblendet werden, sondern Nutzer auch zum Anklicken überlistet werden oder in ihren Namen daraufklicken.

Allerdings besteht die wichtigste Aufgabe darin Facebook-Anmeldedaten zu stehlen. Die Schadsoftware verursacht hierfür eine Google Play-Benachrichtigung, die auf Probleme mit dem Facebook-Konto hinweist und ein erneutes Anmelden fordert. Betroffene geben den Kriminellen dann ihre Anmeldedaten und Passwörter ohne etwas zu merken.

Die Gauner benutzen hierfür nicht einmal eine nachgemachte Facebook-Seite. Die Betroffenen sehen die echte Anmeldeseite von Facebook. Jedoch greifen sie über eine schädliche App darauf zu, welche JavaScript-Code in legitime Seiten einspeisen kann. Wenn man dort seine Anmeldedaten eingibt, kann die gefährliche App sie problemlos erfassen.

Facebook-Konten können verkauft und für Werbezwecke benutzt werden

Was aber passiert, wenn Kriminelle Zugriff auf das Konto bekommen? Sie können Freunde hinzufügen oder bestätigen, Inhalte kommentieren, liken oder teilen und andere reguläre Aktivitäten durchführen. Letztendlich dienen diese Aktivitäten zum Verkauf der Konten an Unternehmen, die mehr Nutzer-Engagement wünschen oder ihren Umsatz steigern möchten.

Kompromittierte Konten sind wertvoll, weil es weniger wahrscheinlich ist, dass sie als gefälscht erkannt und vom sozialen Netzwerk gesperrt werden. Wenn Sie sich mit dieser Android-Schadsoftware infiziert haben, sollten Sie, nachdem Sie die Schadsoftware vom Smartphone beseitigt haben, umgehend alle Passwörter (nicht nur von Facebook) ändern.