Zscaler entdeckt mehr als 50 schädliche Apps im Google Play Store

Stefan Beiersmann,
Linkedin
Mobile Malware (Bild: Shutterstock)

Sie kommen zusammen auf mehr als 300.000 Downloads. Die Apps verbreiten mehrere Malware-Familien. Sie stehlen vertrauliche Daten und buchen unerwünschte WAP-Abonnements.

Die ThreatLabz des Sicherheitsanbieters Zscaler haben erneut Malware in Googles Play Store gefunden. Der Analyse der Forscher zufolge schafften es mehr als 50 schädliche Apps an Googles Kontrollen vorbei in den offiziellen Android-Marktplatz. Sie schleusen die Malware-Familien Joker, Facestealer und Coper ein, die in der Lage sind, Daten zu stehlen, Social-Media-Konten zu kapern und unerwünschte Premiumdienste zu abonnieren.

Google liegen die Erkenntnisse der Forscher bereits vor. Das Unternehmen war so in der Lage, die schädlichen Apps aus dem Play Store zu entfernen. Nutzer, die eine der schädlichen Apps heruntergeladen haben, müssen diese jedoch noch manuell von ihren Geräten entfernen.

Den größten Anteil an den schädlichen Apps hat die Malware-Familie Joker. Der Bericht von Zscaler listet 50 infizierte Anwendungen, die es zusammen auf mehr als 300.000 Downloads im Play Store brachten. Mehr als die Hälfte waren Kommunikations-Apps. Sie benötigen üblicherweise wichtige Berechtigungen, die es den Hintermännern allerdings auch erlauben, schädliche Aktionen auszuführen.

Joker ist dafür bekannt, Informationen wie SMS und Adressbücher von kompromittierten Geräten zu stehlen. Außerdem registriert Joker die Mobilfunknummern seiner Opfer für WAP-Abonnements, die über die Mobilfunkrechnung abgerechnet werden. Hierzulande haben Nutzer jedoch die Möglichkeit, grundsätzlich einer Abrechnung von Leistungen Dritter über ihre Mobilfunkrechnung zu widersprechen.

Den Forschern zufolge enthalten die über den Play Store heruntergeladenen Android-Installationsdateien (APK-Format) bereits den eigentlichen Schadcode. Er wird jedoch in sogenannten Asset-Dateien in Formaten wie JSON, TTF oder PNG versteckt und zudem im Base64-Verfahren kodiert. „Viele Joker-Apps verstecken die Nutzlast im Assets-Ordner des Android Package Kit (APK) und erstellen eine ausführbare ARM ABI-Datei, um die Erkennung durch die meisten Sandboxen zu vermeiden, die auf der x86-Architektur basieren“, erklärte Zscaler.

Eine App namens Vanilla Snap Camera mit rund 5000 Downloads enthielt die Malware Facestealer. Ihre Aufgabe ist es, mithilfe von gefälschten Anmeldeseiten, die als Overlay angezeigt werden, die Anmeldedaten für Facebook-Konten zu stehlen. Coper schließlich wurde entwickelt, um SMS-Nachrichten abzufangen und selbst schädliche SMS zu versenden. Coper entdeckten die Forscher in einer App namens Unicc QR Scanner. Allerdings enthielt die App untermittelbar nach der Installation noch keinen Schadcode. Der wurde erst nach dem ersten Start über einen falsches Softwareupdate nachinstalliert.