Categories: MobileMobile Apps

Schädliche Apps im Google Play Store verbreiten Banking-Trojaner

Sicherheitsforscher von Check Point haben zehn schädliche Anwendungen im Google Play Store entdeckt, die mit einer Schadsoftware verseucht waren. Zusammen mit den legitim erscheinenden Anwendungen luden sich Nutzer jedoch einen Banking-Trojaner auf ihre Android-Geräte. Inzwischen hat Google die Apps aus seinem offiziellen Android-Marktplatz entfernt.

Den Trojaner versteckten die Cyberkriminellen in Tools mit Namen wie Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner Max und QRecorder. Die jeweiligen Funktion stahlen sie von legitimen Open-Source-Anwendungen. Googles Sicherheitskontrollen tricksten die Hacker indes aus, indem sie Firebase für die Kommunikation mit ihren Befehlsservern benutzten und den eigentlichen Schadcode über GitHub herunterluden.

Zudem war der Analyse der Forscher zufolge die Funktion zum Herunterladen des Trojaners in den im Play Store eingereichten Versionen der Apps inaktiv. Erst nach Veröffentlichung der Apps im Play Store wurde sie aktiv, um unter anderem die Schadprogramme mRAT und AlienBot per GitHub zu beziehen.

“Wenn das infizierte Gerät die Installation von Anwendungen aus unbekannten Quellen verhindert, fordert die Malware den Benutzer alle fünf Sekunden mit einer gefälschten Anfrage auf, die sich als “Google Play Services” ausgibt und den Benutzer auffordert, die Installation zu erlauben”, erklärten die Forscher.

mRAT gibt den Angreifern die Möglichkeit, aus der Ferne auf ein kompromittiertes Android-Gerät zuzugreifen. Die Aufgabe von AlienBot wiederum ist es, schädlichen Code in bereits installierte Finanzapps einzuschleusen. Zudem soll die Malware in der Lage sein, Codes für eine Zwei-Faktor-Authentifizierung abzufangen.

Check Point meldete seinen Fund am 29. Januar an Google. Das Unternehmen bestätigte bis zum 9. Februar die Löschung der schädlichen Programme aus dem Play Store. Bis dahin hatten sie ihren Weg nur auf rund 15.000 Android-Geräte gefunden.

“Der Hacker hinter der Malware war in der Lage, die Schutzmaßnahmen von Google Play mit einer kreativen, aber beunruhigenden Methode zu umgehen”, sagte Aviran Hazum, Check Point Mobile Research Manager. “Mit einer einfachen Manipulation von leicht verfügbaren Drittanbieter-Ressourcen – wie einem GitHub-Account oder einem FireBase-Account – war der Hacker in der Lage, die Schutzmaßnahmen des Google Play Store zu umgehen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Organisationsstruktur beeinflusst Cybersicherheit

Auf Basis einer Umfrage untersucht Sophos drei Organisationsszenarien und beurteilt deren Wirkung auf Cybercrime-Abwehr.

16 Stunden ago

Malware im März: Remcos löst CloudEyE ab

Neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos steht in Deutschland auf Platz…

17 Stunden ago

Künstliche Intelligenz in der Industrie 4.0: Chancen und Risiken

Maßnahmen zur Cyber-Sicherheit müssen sich darauf konzentrieren, KI-Systeme vor Angriffen zu schütze, sagt Thomas Boele…

2 Tagen ago

KI macht WordPress sicherer

WordPress ist die Nummer Eins für Webseiten-Software, scheint aber im Fokus von Hackern zu stehen.

2 Tagen ago

IBM sieht Europa im Auge des Cybersturms

Kein anderer Kontinent verzeichne ähnlich viele Angriffe auf seine IT-Systeme. Besonders ernst sei die Lage…

2 Tagen ago

REWE-Geschäftsführer bekommt digitalen Zwilling

Als Avatar soll Chief Digital Information Officer Robert Zores neuen Mitarbeitenden beim Onboarding helfen.

3 Tagen ago