Bild.de Hier geht es zurück zu Bild.de

„Dark Herring“-Malware bei über 100 Millionen Nutzern

470 beliebte Android-Apps, die Sie sofort löschen sollten

App-Malware-Kampagne „Dark Herring“ trifft Millionen von Android-Nutzern
Die Sicherheitsmaßnahmen im Google Play Store werden immer stärker – dennoch können sie hartnäckige Hacker nicht abhaltenFoto: Getty Images

Nachdem Betrüger Millionen von Euro noch Android-Nutzern gestohlen haben, folgt jetzt die nächste Google-Panne. Der zweijährigen „Dark Herring“-Kampagne sind mehr als 100 Millionen Nutzer zum Opfer geworden.

Google bekommt Malware-Attacken, die über harmlos wirkende Apps aus dem Play Store auf Smartphones gelangen, nicht in den Griff. Cyberkriminelle investieren immer mehr Geld in groß angelegte Betrugs-Kampagnen, die sich oft über mehrere Jahre ziehen. Aktuell sind fast 470 Malware-infizierte Apps noch im Umlauf.

Malware-Apps rechnen Geld über die Telefonrechnung ab

Erst kürzlich hat Sicherheitsunternehmen „Zimperium“ die Trojaner-Kampagne „GriftHorse“ aufgedeckt, über die auch TECHBOOK berichtete. Auf der Suche nach weiteren Betrugsmaschen dieser Art haben die Forscher weitere, Malware-verseuchte Apps gefunden. Die Kampagne, die den Namen „Dark Herring“ bekommen hat, läuft seit bald zwei Jahren und hat mehr als 100 Millionen Android-Nutzer getroffen. Wie schon „GriftHorse“ zuvor ist „Dark Herring“ ein Wortspiel – dieses mal jedoch aus dem Ausdruck „red herring“. Das bedeutet wörtlich übersetzt „roter Hering“, steht im übertragenen Sinne aber für ein Täuschungsmanöver.

Die „Dark Herring“-Kampagne nutzt die gleiche Strategie, die auch schon in Apps mit „GriftHorse“-Malware funktioniert hat. Sie macht Gebrauch von der „Direct Carrier Billing“-Technologie (DCB) – eine Zahlungsart, die Nutzern das Bezahlen per Telefonrechnung erlaubt. DCB ist vor allem in Ländern verbreitet, in denen die Nutzung von Kreditkarten nicht gängig ist.

Nach dem Installieren einer dieser App bekommen Nutzer mehrere Benachrichtigungen pro Stunde. Demnach sollen sie ihre Telefonnummer bestätigen, um einen Preis zu gewinnen. Stattdessen registrieren die Hacker jedoch die Nummer für einen SMS-Dienst, für den monatlich 30-40 Euro über die Telefonrechnung abgebucht werden. Die „Dark Herring“-Apps enthalten versteckten Code, der automatisch Bezahl-Abos für „Premium-Dienste“ mit Kosten in Höhe von 15 US-Dollar abschließt. Dass ihre Telefonrechnung mit diesem Betrag belastet wurde, finden Nutzer oft erst mehrere Monate später heraus.

Lesen Sie auch: Bekommen Sie in letzter Zeit komische Paketlieferungs-SMS?

„Dark Herring“-Kampagne in mehr als 70 Ländern

Obwohl „Dark Herring“ ähnliche Mittel wie die „GriftHorse“-Attacken verwendet, hat „Zimperium“ herausgefunden, dass es sich um unterschiedliche Kampagnen handelt. „Dark Herring“-Apps hätten demnach eine andere Code-Basis und seien noch erfolgreicher darin, sich bei Nutzern breitzumachen. Die Sicherheitsforscher betonen, dass die Apps nicht einfach billige Kopien voneinander seien. Vielmehr hätten die Cyberkriminellen viel Geld investiert, um funktionierende Apps über eine große Bandbreite von Kategorien zu veröffentlichen. Allein die schiere Größe der Kampagne mit fast 470 Apps macht es Googles Sicherheitsvorkehrungen im Play Store schwer, versteckten bösartigen Code in jeder einzelnen zu erkennen.

App-Malware-Kampagne „Dark Herring“ trifft Millionen von Android-Nutzern
Länder, die Gelb markiert sind, sind von der „Dark Herring“-Kampagne betroffen – die Länder in Rot besonders stark.Foto: Zimperium

Die „Dark Herring“-Kampagne hat laut „Zimperium“ Nutzer in mehr als 70 Ländern erreicht. Die Apps sind auf mehr als 105 Millionen Smartphones installiert. Einige davon wurden bis zu fünf Millionen mal heruntergeladen. Sie können anhand der IP-Adresse der Nutzer das jeweilige Land erkennen und stellen Inhalte in der passenden Sprache dar. Im Zusammenspiel mit der Tatsache, dass die Apps auch tatsächlich funktionieren, können Nutzer kaum bemerken, dass es sich um Malware handelt.

Google hat mittlerweile sämtliche betroffene Apps aus dem Play Store gelöscht. Damit bleiben sie aber dennoch auf dem Smartphone installiert und können weiterhin Schaden anrichten. Auch in App Store von Drittanbietern und in Online-Datenbanken sind sie noch zu finden. TECHBOOK rät deshalb, die Apps sofort vom Smartphone zu löschen und nicht aus anderen Quellen zu installieren. Die komplette Liste der Malware-infizierten Apps finden Sie auf der GitHub-Seite zu „Dark Herring“.

Quellen

Themen

Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale-Netzwerke zu teilen, brauchen wir deine Zustimmung für