Im Play Store ist generell immer Vorsicht angesagt, doch ein aktueller Fall sollte die Alarmglocken besonders laut klingeln lassen.

  • Bösartige Apps wurden mehr als 300.000 Mal heruntergeladen.
  • Diese hatten das Ziel, die Bankkonten ihrer Opfer anzugreifen.
  • Sie tarnten sich unter anderem als QR- und PDF-Scanner.

Es ist keine einzigartige Geschichte. Dass sich Apps mit bösen Hintergedanken im Google Play Store tummeln, sollte niemanden so wirklich überraschen. Schließlich kostet es gerade einmal 25 Dollar, um in kürzester Zeit eine Anwendung für Abermillionen an Android-Smartphones und -Tablets verfügbar zu machen.

Um mal auf den Punkt zu kommen: Sicherheitsforscher von ThreatFabric haben herausgefunden, dass zunächst unscheinbare Apps, die insgesamt mehr als 300.000 Mal aus dem Play Store heruntergeladen wurden, sich später als Trojaner entpuppten.

Millionen Downloads: Passwortdiebstahl durch Apps aus dem Play Store

Apps erledigten ihre versprochene Aufgabe – und ein bisschen mehr

Während sich die Apps als QR-Scanner, PDF-Scanner, Fitness-Apps und Krypto-Tracker tarnten, war ihre eigentliche Aufgabe, Passwörter, Zwei-Faktor-Authentifizierungscodes und Tastatureingaben mitzuschneiden und heimlich Screenshots zu machen.

Besonders perfide waren die Trojaner aber auch, weil sie prinzipiell ihren versprochenen Job ja auch erledigt haben – nur dabei blieb es dann eben nicht. Sie hatten sogar eine hohe Zahl an Downloads, gute Bewertungen und begeisterte Rezensionen. Das schafft natürlich Vertrauen.

Bild: ThreatFabric

Bösartiger Code wurde erst hinterher heimlich heruntergeladen

Nach dem ersten Download aus dem Play Store war noch nicht unbedingt schadhafter Code an Bord. Dieser wurde erst per Updates aus Drittanbieter-Quellen durch die Nutzer selbst installiert. Die Entwickler haben alles daran gesetzt, um Apps zu erstellen, denen der bösartige Zweck so gut wie gar nicht anzusehen ist. Selbst allgemein verlässliche Prüf-Tools wie VirusTotal sprangen nicht an.

Der geringe bösartige Fußabdruck ist das Ergebnis der neuen (aktuellen und geplanten) Google Play-Beschränkungen, die die Verwendung von Datenschutz bei App-Berechtigungen einschränken. Berechtigungen wie der Accessibility Service war in früheren Kampagnen eine der Haupttaktiken, die zur Automatisierung der Installation von Android-Bank-Trojanern über Dropper-Apps in Google Play missbraucht wurde.

Die Malware-Familie, die für die größte Anzahl von Infektionen verantwortlich sei, heiße „Anatsa“. Dabei handele es sich um einen ziemlich fortschrittlichen Android-Bankentrojaner, der eine Vielzahl von Funktionen biete wie Fernzugriff und automatische Überweisungssysteme. Die Konten der Opfer leeren sich damit wie von Geisterhand, ohne dass diese großartig etwas davon mitbekommen.

Bild: ThreatFabric

Google haut 700.000 böse Apps aus dem Play Store

Das waren die Trojaner-Apps

Insgesamt haben die Forscher zwölf Apps identifiziert, die nach ähnlichen Prinzipien funktionierten (zwei davon mit dem gleichen Namen, aber unterschiedlichen Prüfsummen):

  • Two Factor Authenticator
  • Protection Guard
  • QR CreatorScanner
  • Master Scanner Live
  • QR Scanner 2021
  • QR Scanner
  • PDF Document Scanner – Scan to PDF
  • PDF Document Scanner
  • PDF Document Scanner Free
  • CryptoTracker
  • Gym and Fitness Trainer

Auf Nachfrage von Ars Technica hat sich Google wohl nur spärlich zur Situation geäußert und lediglich auf einen Beitrag von April hingewiesen, in dem man erklärt hatte, wie man gegen eben solche bösen Apps vorgehen würde. Die Anstrengungen sind zwar zu begrüßen, haben aber offensichtlich nicht ausgereicht.

Jonathan Kemper

Freier Technikjournalist, bloggt über Smartphones, Apps und Gadgets, seit 2018 mit regelmäßigen News und ausführlichen Testberichten bei SmartDroid.de an Bord.

Hinterlassen Sie bitte einen Kommentar

Beachtet die üblichen Regeln für Kommentarspalten und seid nett zueinander. Wir speichern keine IP-Adressen der kommentierenden Nutzer. Hier entlang zur Telegram-Gruppe von Smartdroid.de

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.