Android Malware will Nutzerdaten von Uber

Cloud

Eine neue Variante des Trojaners FakeApp will die Anmeldedaten für den Fahrdienst Uber abschöpfen. Ein Deep Link ruft sogar die echte Uber-App auf.

Eine bösartige Anwendung gibt sich als Fahrdienst-App Uber aus. Dabei handelt es sich jedoch um die neue Variante eines Trojaners, den Symantec als Android.FakeApp bezeichnet. Die Malware hat es nicht zum ersten Mal auf die Nutzer von Android-Smartphones abgesehen, fällt jetzt aber durch eine neue Verschleierungsmethode auf.

Malware (Bild: Shutterstock)

Die Hintermänner von FakeApp nutzten die Malware schon seit 2012, um Werbung einzublenden und Informationen von kompromittierten Geräten mitzuschneiden. Jetzt geht es ihnen darum, an die Anmeldedaten für Uber-Konten zu kommen. Sie werden diese wahrscheinlich selbst für betrügerische Zwecke einsetzen oder sie in einschlägigen Foren zum Kauf anbieten.

Wie die Sicherheitsforscher von Symantec herausfanden, blendet FakeApp in regelmäßigen Abständen auf dem Smartphone-Display eine der Uber-App nachempfundene Bedienoberfläche ein. Das wiederholt sich solange, bis sich der Nutzer vielleicht verleiten lässt, seine Uber-ID – typischerweise die beim Fahrdienst registrierte Telefonnummer – und das Passwort dazu einzugeben.

Danach bemüht sich die Malware, ihre Spuren zu verwischen und vor allem keinen Verdacht beim Nutzer aufkommen zu lassen. Zu diesem Zweck zeigt sie ein Fenster der echten Uber-App an, auf der der aktuelle Standort des Nutzers zu sehen ist – ganz wie von der legitimen App zu erwarten. Das geschieht mit der der Overlay-Technik, die schon häufig bei Android-Schadsoftware zum Einsatz kam.

Bei einem Overlay-Angriff überlagert die App eines Angreifers andere Fenster und Apps, die auf dem Gerät laufen. FakeApp hat hier aber noch einen besonderen Trick auf Lager und blendet gezielt einen Bildschirm ein, mit dem die echte Uber-App typischerweise auf eine angeforderte Fahrt reagiert und dabei den Standort des Opfers für die gewünschte Abholung durch ein Uber-Fahrzeug anzeigt.

Das gelingt der Malware, indem sie eine Deep-Link-URL der Uber-App nutzt. Deep Linking dient bei Android dazu, bestimmte Inhalte oder Funktionen innerhalb von Anwendungen aufzurufen. “Dieses Beispiel demonstriert erneut das ständige Bestreben der Malware-Autoren, neue Social-Engineering-Techniken zu entwickeln, um ahnungslose Nutzer zu täuschen und von ihnen zu stehlen”, kommentiert Symantec-Analyst Dinesh Venkatesan.

Venkatesan nimmt jedoch keine weite Verbreitung dieser FakeApp-Variante an, da sie nicht über Google Play zu beziehen ist, sondern nur per Download von anderen Websites. Opfer vermutet er vor allem in russischsprachigen Ländern. Ebenso wie Uber rät er dringend, nur Apps von Googles offiziellem Play Store zu installieren. Aber auch hier bleibt Umsicht geboten, denn immer wieder entdecken Sicherheitsforscher Malware im Google Play Store.

[mit Material von Danny Palmer, ZDNet.com]