von Redaktion IT-A…
Lesezeit
2 Minuten
Mobile Malware überrollt Google Play
Eine Welle an infizierten Apps hat es in den Google-Play-Store geschafft. Security-Experten von McAfee, Doctor Web, Malwarebytes und ESET fanden insgesamt mehr als 160 infizierte Apps. Den größten Anteil machte dabei die Malware Grabos aus, die sich in vermeintlichen MP3-Apps verbarg. Offenbar bremsen die Googles Sicherheitsmaßnahmen motivierte Angreifer nicht wirklich aus.
Google bemüht sich, seinen App-Marktplatz Google Play sauber zu halten und hat erst kürzlich die Funktion "Google Play Protect" eingeführt, die auf Mobilgeräten nach schädlichen Apps Ausschau halten soll. Über den schon seit einigen Jahren im Einsatz befindlichen "Bouncer" werden ferner neue Apps, die in den Store geladen werden, auf schädliches Verhalten hin untersucht. Doch trotz dieser Maßnahmen gelingt es Angreifern immer wieder, Schadsoftware in den Marktplatz einzuschleusen.
Die Antimalware-Firmen McAfee [1], Doctor Web [2], Malwarebytes [3] und ESET [4] haben nun eine ganze Reihe an infizierten Apps gefunden. Den Löwenanteil mit 144 Apps machten dabei infizierte MP3-Player-Apps aus, die den Schädling "Grabos" an Bord hatten. Alleine diese Apps wurden bis zu 17,4 Millionen Mal heruntergeladen. Die Malware soll Nutzer offenbar dazu verleiten, zusätzliche Apps zu installieren, wovon die Angreifer finanziell profitieren sollen.
Doctor Web hat ferner neun trojanisierte Apps (Android.RemoteCode.106.origin) gefunden, die im Hintergrund und für die Nutzer unsichtbar Werbeanzeigen aufrufen und anklicken. Auch hiervon profitieren die Angreifer finanziell. Zumindest einige der Apps sollen aus Google Play verschwunden sein, nachdem Doctor Web Google über den Fund informiert hat.
Mehrstufige Malware
Recht gezielt gingen die Angreifer im Fall der von Malwarebytes gefundenen Schädlinge "AsiaHitGroup" vor. Sie haben sich anhand von IP-Adressen auf asiatische Nutzer konzentriert und ihre Malware unter anderem in QR-Code-Scannern versteckt.
Im Fall der von ESET gefundenen acht infizierten Apps handelt es sich um einen Banking-Trojaner, der jedoch nur in verhältnismäßig geringem Umfang heruntergeladen wurde. Dafür gingen die Schädlingsautoren offenbar besonders raffiniert vor, indem sie die eigentliche Payload verschlüsselt in den Apps versteckt haben und diese erst in mehreren Stufen auf den Endgeräten entschlüsselt und aktiviert wurde. Dieses Obfuscating genannte Verfahren soll die Analyse von Apps auf schädliches Verhalten hin erschweren – offenbar mit Erfolg.
Genau hinschauen
Viele Nutzer dürften angesichts solcher Nachrichten das Vertrauen in Google Play und dessen Sicherheit verlieren. Dennoch bleibt einer der wichtigsten Security-Tipps in Sachen Android, sich beim Download von Apps auf Google Play zu beschränken, da die Chancen, sich hier zu infizieren, noch immer relativ gering sind.
Auch das aufmerksame Studieren der Rechte, die eine App einfordert sowie der Bewertungen samt Kommentare und Anzahl an Downloads kann Hinweise auf die Schädlichkeit einer App geben. Versprechen Apps eigentlich kostenpflichtige Dienste für umme, ist die Wahrscheinlichkeit hoch, dass etwas nicht stimmt.
Sinnvolle Antimalware-Apps
Schlussendlich kann es nicht schaden, eine zumindest kostenfreie Antimalware-App auf dem Gerät zu installieren – besonders, wenn doch auch mal Apps von Drittquellen eingespielt werden. Diese erreichen in Tests [5] regelmäßig sehr gute Erkennungsraten, während Google Play Protect hier noch deutliches Verbesserungspotenzial besitzt.
Wer eine reine Antimalware-App ohne zusätzliche Funktionen wie etwa Geräte-Ortung und Remote-Löschen sucht, die ohnehin durch den Android Device Manager abgedeckt sind, kann einen Blick auf Dr.Web Light [6] oder Bitdefender Antivirus Free [7] werfen. Die beiden Apps halten sich unauffällig im Hintergrund und belasten das Device nicht unnötig, während sie einen zusätzlichen Schutz bieten.
dr
[1] https://securingtomorrow.mcafee.com/mcafee-labs/android-malware-grabos-exposed-millions-to-pay-per-install-scam-on-google-play/
[2] https://news.drweb.com/show/?i=11581&lng=en
[3] https://blog.malwarebytes.com/cybercrime/2017/11/new-trojan-malware-discovered-google-play/
[4] https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/
[5] https://www.av-test.org/de/antivirus/mobilgeraete/
[6] https://play.google.com/store/apps/details?id=com.drweb
[7] https://play.google.com/store/apps/details?id=com.bitdefender.antivirus
Die Antimalware-Firmen McAfee [1], Doctor Web [2], Malwarebytes [3] und ESET [4] haben nun eine ganze Reihe an infizierten Apps gefunden. Den Löwenanteil mit 144 Apps machten dabei infizierte MP3-Player-Apps aus, die den Schädling "Grabos" an Bord hatten. Alleine diese Apps wurden bis zu 17,4 Millionen Mal heruntergeladen. Die Malware soll Nutzer offenbar dazu verleiten, zusätzliche Apps zu installieren, wovon die Angreifer finanziell profitieren sollen.
Doctor Web hat ferner neun trojanisierte Apps (Android.RemoteCode.106.origin) gefunden, die im Hintergrund und für die Nutzer unsichtbar Werbeanzeigen aufrufen und anklicken. Auch hiervon profitieren die Angreifer finanziell. Zumindest einige der Apps sollen aus Google Play verschwunden sein, nachdem Doctor Web Google über den Fund informiert hat.
Mehrstufige Malware
Recht gezielt gingen die Angreifer im Fall der von Malwarebytes gefundenen Schädlinge "AsiaHitGroup" vor. Sie haben sich anhand von IP-Adressen auf asiatische Nutzer konzentriert und ihre Malware unter anderem in QR-Code-Scannern versteckt.
Im Fall der von ESET gefundenen acht infizierten Apps handelt es sich um einen Banking-Trojaner, der jedoch nur in verhältnismäßig geringem Umfang heruntergeladen wurde. Dafür gingen die Schädlingsautoren offenbar besonders raffiniert vor, indem sie die eigentliche Payload verschlüsselt in den Apps versteckt haben und diese erst in mehreren Stufen auf den Endgeräten entschlüsselt und aktiviert wurde. Dieses Obfuscating genannte Verfahren soll die Analyse von Apps auf schädliches Verhalten hin erschweren – offenbar mit Erfolg.
Genau hinschauen
Viele Nutzer dürften angesichts solcher Nachrichten das Vertrauen in Google Play und dessen Sicherheit verlieren. Dennoch bleibt einer der wichtigsten Security-Tipps in Sachen Android, sich beim Download von Apps auf Google Play zu beschränken, da die Chancen, sich hier zu infizieren, noch immer relativ gering sind.
Auch das aufmerksame Studieren der Rechte, die eine App einfordert sowie der Bewertungen samt Kommentare und Anzahl an Downloads kann Hinweise auf die Schädlichkeit einer App geben. Versprechen Apps eigentlich kostenpflichtige Dienste für umme, ist die Wahrscheinlichkeit hoch, dass etwas nicht stimmt.
Sinnvolle Antimalware-Apps
Schlussendlich kann es nicht schaden, eine zumindest kostenfreie Antimalware-App auf dem Gerät zu installieren – besonders, wenn doch auch mal Apps von Drittquellen eingespielt werden. Diese erreichen in Tests [5] regelmäßig sehr gute Erkennungsraten, während Google Play Protect hier noch deutliches Verbesserungspotenzial besitzt.
Wer eine reine Antimalware-App ohne zusätzliche Funktionen wie etwa Geräte-Ortung und Remote-Löschen sucht, die ohnehin durch den Android Device Manager abgedeckt sind, kann einen Blick auf Dr.Web Light [6] oder Bitdefender Antivirus Free [7] werfen. Die beiden Apps halten sich unauffällig im Hintergrund und belasten das Device nicht unnötig, während sie einen zusätzlichen Schutz bieten.
dr
[1] https://securingtomorrow.mcafee.com/mcafee-labs/android-malware-grabos-exposed-millions-to-pay-per-install-scam-on-google-play/
[2] https://news.drweb.com/show/?i=11581&lng=en
[3] https://blog.malwarebytes.com/cybercrime/2017/11/new-trojan-malware-discovered-google-play/
[4] https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/
[5] https://www.av-test.org/de/antivirus/mobilgeraete/
[6] https://play.google.com/store/apps/details?id=com.drweb
[7] https://play.google.com/store/apps/details?id=com.bitdefender.antivirus
