Auch wenn offizielle App-Stores unter ständiger und strenger Überwachung stehen, werden nicht alle schädlichen Apps erkannt, bevor diese hochgeladen werden. So werden jedes Jahr zahlreiche solcher Apps bei Google Play gelöscht, nachdem Opfer bereits infiziert wurden. Um herauszufinden, wie die schädlichen Apps in die offiziellen App-Stores gelangen, haben Kaspersky-Experten neun Darknet-Foren untersucht, in denen der Kauf und Verkauf von Waren und Dienstleistungen im Zusammenhang mit Malware durchgeführt wird.

Wie auf dem freien Markt gibt es im Darknet unterschiedliche Angebote, die Bedürfnissen und Kunden verschiedenster Budgets gerecht werden. Um eine schädliche App im Store zu veröffentlichen, benötigen Cyberkriminelle ein Google-Play-Konto und einen schädlichen Downloader-Code (Google Play Loader). Ein Entwicklerkonto kann schon für 200 US-Dollar erworben werden, gelegentlich sogar für nur 60 US-Dollar. Die Kosten für schädliche Loader liegen zwischen 2000 und 20.000 US-Dollar, abhängig von der Komplexität der Malware, der Neuheit und Verbreitung des Schadcodes sowie zusätzlichen Funktionen.

Meist schlagen die Cyberkriminellen vor, die verbreitete Malware in Trackern für Krypto-Währungen, Finanz-Apps, QR-Code-Scannern oder Dating-Apps zu verstecken. Dabei weisen sie auch darauf hin, wie viele Downloads die legitime Version einer App bereits hat, also wie viele potenzielle Opfer infiziert werden könnten, wenn die App um den schädlichen Code aktualisiert würde. Am häufigsten werden 5000 Downloads oder mehr angegeben.

Sicherheitslösungen täuschen? Gegen Aufpreis möglich
Zusätzlich zu den "Basis-Angeboten" stehen weitere Optionen für Cyberkriminelle bereit. So kann gegen eine zusätzliche Gebühr Anwendungscode verschleiert werden, um die Erkennung durch Cybersicherheitslösungen zu erschweren.

Um die Anzahl der Downloads einer schädlichen App zu erhöhen, bieten viele Cyberkriminelle zudem den Kauf von Installationen an, wodurch der Datenverkehr über Google-Anzeigen geleitet und mehr Nutzer zum Herunterladen der App animiert werden. Die Kosten hierfür sind länderspezifisch unterschiedlich, der Durchschnittspreis beträgt 0,50 US-Dollar; das niedrigste Angebot betrug 0,10 US-Dollar. Bei einem der entdeckten Angebote kostete die Werbung für Nutzer aus den USA und Australien mit 0,80 US-Dollar am meisten. Die Cyberkriminellen bieten dabei drei unterschiedliche Geschäftsmodelle an:

• Anteil am Endgewinn
• Miete für ein Konto oder eine Bedrohung
• vollständiger Kauf eines Kontos oder einer Bedrohung.

Einige Verkäufer veranstalten sogar Auktionen, um ihre Waren zu verkaufen. Beispielsweise entdeckte Kaspersky ein Angebot, bei dem der Startpreis bei 1500 US-Dollar lag und mit 700 US-Dollar-Schritten geboten wurde, der Sofortkaufpreis belief sich auf 7000 US-Dollar.

Mit Garantie und Vermittler
Darknet-Verkäufer bieten außerdem an, die schädliche App für den Käufer zu veröffentlichen, damit diese selbst nicht direkt mit Google Play interagieren müssen und dennoch alle gesammelten Daten der Opfer aus der Ferne erhalten. In solch einem Fall könnte der Entwickler den Käufer leicht täuschen, doch auch unter Darknet-Verkäufern zählt der "gute" Ruf; es werden Garantien gegeben und Zahlungen erst nach Service-Abschluss akzeptiert. Dafür greifen Cyberkriminelle häufig auf die Dienste unbeteiligter Vermittler zurück, die als "Escrow" bezeichnet werden.

"Schädliche Apps sind nach wie vor eine der größten Cyberbedrohungen für Nutzer; allein im vergangenen Jahr wurden mehr als 1,6 Millionen dieser Apps entdeckt", resümiert Alisa Kulishenko, Sicherheitsexpertin bei Kaspersky. "Zum Glück erkennen Cybersicherheitslösungen diese Bedrohungen immer häufiger und schützen Nutzer vor solchen Angriffen. Im Darknet haben wir Nachrichten von Cyberkriminellen gefunden, die sich darüber beschweren, dass es für sie jetzt viel schwieriger sei, ihre schädlichen Apps in offizielle Stores hochzuladen. Das bedeutet aber auch, dass die Betrüger sich immer neue, komplexere Umgehungsschemata einfallen lassen. Nutzer sollten daher immer wachsam bleiben und sorgfältig prüfen, welche Apps sie herunterladen."