Schädliche Apps im Google Play Store verbreiten Banking-Trojaner

Stefan Beiersmann,
Malware Spionage (Bild: Shutterstock)

Er versteckt sich in legitim erscheinenden Android-Tools für VPN und QR-Codes. Der Trojaner lässt sich aus der Ferne steuern und kompromittiert Finanzapps. Google löscht die fraglichen Apps, die es zusammen auf rund 15.000 Downloads bringen.

Sicherheitsforscher von Check Point haben zehn schädliche Anwendungen im Google Play Store entdeckt, die mit einer Schadsoftware verseucht waren. Zusammen mit den legitim erscheinenden Anwendungen luden sich Nutzer jedoch einen Banking-Trojaner auf ihre Android-Geräte. Inzwischen hat Google die Apps aus seinem offiziellen Android-Marktplatz entfernt.

Den Trojaner versteckten die Cyberkriminellen in Tools mit Namen wie Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner Max und QRecorder. Die jeweiligen Funktion stahlen sie von legitimen Open-Source-Anwendungen. Googles Sicherheitskontrollen tricksten die Hacker indes aus, indem sie Firebase für die Kommunikation mit ihren Befehlsservern benutzten und den eigentlichen Schadcode über GitHub herunterluden.

Zudem war der Analyse der Forscher zufolge die Funktion zum Herunterladen des Trojaners in den im Play Store eingereichten Versionen der Apps inaktiv. Erst nach Veröffentlichung der Apps im Play Store wurde sie aktiv, um unter anderem die Schadprogramme mRAT und AlienBot per GitHub zu beziehen.

“Wenn das infizierte Gerät die Installation von Anwendungen aus unbekannten Quellen verhindert, fordert die Malware den Benutzer alle fünf Sekunden mit einer gefälschten Anfrage auf, die sich als “Google Play Services” ausgibt und den Benutzer auffordert, die Installation zu erlauben”, erklärten die Forscher.

mRAT gibt den Angreifern die Möglichkeit, aus der Ferne auf ein kompromittiertes Android-Gerät zuzugreifen. Die Aufgabe von AlienBot wiederum ist es, schädlichen Code in bereits installierte Finanzapps einzuschleusen. Zudem soll die Malware in der Lage sein, Codes für eine Zwei-Faktor-Authentifizierung abzufangen.

Check Point meldete seinen Fund am 29. Januar an Google. Das Unternehmen bestätigte bis zum 9. Februar die Löschung der schädlichen Programme aus dem Play Store. Bis dahin hatten sie ihren Weg nur auf rund 15.000 Android-Geräte gefunden.

“Der Hacker hinter der Malware war in der Lage, die Schutzmaßnahmen von Google Play mit einer kreativen, aber beunruhigenden Methode zu umgehen”, sagte Aviran Hazum, Check Point Mobile Research Manager. “Mit einer einfachen Manipulation von leicht verfügbaren Drittanbieter-Ressourcen – wie einem GitHub-Account oder einem FireBase-Account – war der Hacker in der Lage, die Schutzmaßnahmen des Google Play Store zu umgehen.”