Meldung

Joker macht Google Play unsicher

Sicherheitsforscher des Zscaler ThreatLabZ-Teams haben die Malware Joker in elf Apps mit insgesamt 30.000 Downloads im Google Play Store entdeckt. Joker ist eine der bekanntesten Malware-Familien, die auf Android-Geräte abzielt und durch kontinuierliche Veränderungen immer wieder ihren Weg in den App Store von Google findet. Dazu ändern die Angreifer den Code, die Ausführungsmethoden oder die Techniken zum Abrufen der Nutzdaten.
Immer wieder schleusen Angreifer infektiöse Apps in Google Play ein.
Die Spyware ist laut Zscaler [1] darauf ausgelegt, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen und die Opfer für Premium-WAP-Dienste (Wireless Application Protocol) anzumelden. Die betroffenen Applikationen wurden zwischenzeitlich aus dem Playstore entfernt, nachdem bereits Downloads in fünfstelliger Höhe erfolgten. Die folgenden elf Apps waren betroffen:

  • Free Affluent Message
  • PDF Photo Scanner
  • delux Keyboard
  • Comply QR Scanner
  • PDF Converter Scanner
  • Font Style Keyboard
  • Translate Free
  • Saying Message
  • Private Message
  • Read Scanner
  • Print Scanner

Die Joker-Malware-Autoren haben es auf einige App-Kategorien mehr abgesehen als auf andere. Basierend auf den über 50 Payloads, die die Forscher in den letzten 2,5 Monaten analysiert haben, betrafen die meisten die folgenden fünf Kategorien:

  • Gesundheit & Fitness
  • Fotografie
  • Werkzeuge
  • Personalisierung
  • Kommunikation

Die Kategorie "Tools" war das bevorzugte Ziel des Joker-Malware-Autors und machte 41 Prozent der gesamten Payloads aus. Die Kategorien "Kommunikation" und "Personalisierung" folgten mit 28 beziehungsweise 22 Prozent der Payloads. Die Kategorie "Fotografie" verzeichnete sieben Prozent Payloads. Die letzten zwei Prozent der Payloads entfielen auf die Kategorie "Gesundheit & Fitness". Diese Kategorie scheint neu ins Visier genommen zu sein, da hier bisher keine Infektionen beobachtet werden konnten.

Neue Angriffsmethoden
Joker ist bereits bekannt dafür, seine Angriffsmethoden fortlaufend zu ändern, um der Entdeckung zu entgehen. Dieses Mal wurden URL Shortener-Dienste zum Abrufen der Payload eingesetzt, während zuletzt die Alibaba-Cloud benutzt wurde. Die mit Joker infizierten Apps zweckentfremdeten dabei die folgenden Services als Träger der Mediator-Payload TinyURL, bit.ly, Rebrand.ly, zws.im oder 27url.cn um die bekannten Cloud-Service URLs zu verstecken, die zum Nachladen der Stage-Payload verwendet wurden.

Die ständigen Änderungen deuten darauf hin, dass die Joker-Malware-Autoren sehr aktiv sind und immer wieder neue Taktiken ausprobieren, um den Überprüfungsprozess des Google Play Store zu umgehen. Anhand der Anzahl der in Google Play hochgeladenen Nutzdaten lässt sich vermuten, dass sich die Aktivitäten für die Joker-Malware-Autoren lohnen. Das ThreatLabz-Team überwacht fortlaufend die neu zum Google Play Store hinzugefügten Apps auf solche Vorfälle und helfen dabei, sie in Zusammenarbeit mit dem Google Security Team aus dem Verkehr zu ziehen.

Neben dem Google Play Store werden solche Apps auch in die App-Stores von Drittanbietern hochgeladen, da diese regelmäßig Crawling-Aktivitäten im Google Play Store durchführen. Allerdings leben diese Apps dort länger, da Drittanbieter keine Überprüfung vornehmen. Aus diesem Grund empfiehlt es sich, Apps aus dem offiziellen Google Play Store zu beziehen und nicht von anderen Drittanbietern.
21.07.2021/dr

Tipps & Tools

Intensiv-Seminar "Aufbau einer PKI unter Windows Server" [2.08.2021]

Microsoft verwendet Zertifikate für mehrere PKI-fähige Produkte, daher bedarf es sowohl innerhalb der Organisation als auch für externe Partner einer fehlerfreien Zertifikatausstellung. Anfang September erfahren Sie in unserem Intensiv-Seminar in Hamburg, was Sie beim Aufbau einer Public-Key-Infrastruktur unter Windows Server beachten müssen. Dabei zeigen wir unter anderem, wie Sie PKI-fähige Anwendungen identifizieren und eine Testumgebung aufbauen und konfigurieren. Zögern Sie nicht zu lange – und sichern Sie sich einen der letzten Restplätze für das Intensiv-Seminar! Abonnenten nehmen wie immer zum Vorzugspreis teil. [mehr]

Sicherheitslücke in systemd begünstigt Denial-of-Service-Attacken [30.07.2021]

Das Qualys Research Team hat eine schwerwiegende Sicherheitslücke in Linux-Betriebssystemen identifiziert. Für den den systemd-Daemon betreffenden Bug weit verbreiteter OS wie RHEL 8 und Debian 10 ist ein Patch verfügbar. [mehr]

Fachartikel

SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext [21.07.2021]

Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen