Hier geht es zurück zu
Immer wieder schaffen es Hacker, bösartige Software vorbei an Sicherheitsmaßnahmen in die App Stores von Apple und Google einzuschleusen.
Sicherheitsforscher verschiedenster Unternehmen sind ständig damit beschäftigt, Malware aufzuspüren, die sich in Apps für iOS und Android versteckt. TECHBOOK sammelt alle aktuellen Warnungen in diesem Artikel.
Übersicht
- Neuartige Malware automatisiert den Diebstahl von Banking-Daten
- Gefälschte Rewards-Apps versprechen Belohnungen gegen Werbung
- Millionen Android-Nutzer von Spyware und Adware betroffen
- Banking-Trojaner „Sharkbot“ zielt auf deutsche Banken ab
- „Clicker“-Viren im Google Play Store
- Adware-Viren in iOS und Android
- Wie Sie sich vor Malware in iOS und Android schützen können
Neuartige Malware automatisiert den Diebstahl von Banking-Daten
Bislang zielen Malware-Kampagnen in der Regel darauf ab, durch gefälschte Webseiten oder Social Engineering Nutzer dazu zu bringen, ihre Banking-Daten preiszugeben. Eine neuartige Schadsoftware, die von dem Hacker-Verbund Hadoken Security Group entwickelt wird, geht jedoch einen Schritt weiter. Die Sicherheitsforscher von ThreatFabric haben die Kampagne im Februar 2022 entdeckt und der Malware den Namen „Xenomorph“ – die extrem gefährliche Kreatur aus den „Alien“-Filmen – gegeben.
Damals berichtete ThreatFabric lediglich von einer eingeschränkten Verteilung der Xenomorph-Malware, die auf einen Testlauf hindeuteten. Doch nun hat das Sicherheitsunternehmen eine neue Variante entdeckt: Xenomorph.C. Was diese Variante so gefährlich macht, ist ihr komplett automatisierter Prozess. Die Hacker machen sich dafür die Android-Bedienungshilfen und automatisierte Transfersysteme (ATS) zunutze. ATS erlauben es den Hackern, Transaktionen auf infizierten Geräten auszuführen. Die Malware kann damit automatisch Login-Daten und Kontostand herausfinden und sogar Überweisungen tätigen und mit Multi-Faktor-Authentifizierung (MFA) bestätigen. ATS können diese Prozesse auf den Smartphones ihrer Opfer auszuführen, ohne dass diese etwas davon mitbekommen.
Das macht Xenomorph.C zu einer der ausgeklügelsten Malwares, die aktuell im Umlauf sind. Das Programm automatisiert laut ThreatFabric „die komplette Betrugskette, von Infektion bis Geldabschöpfung“. Dafür waren bislang oft mehrere, einzelne Schritte notwendig, in denen die Hacker erst an Login-Daten und dann unentdeckt in die Banking-Apps selbst kommen mussten. Kommen Nutzer aber mit Xenomorph.C in Kontakt, kann die Malware ohne weiteres Zutun die Banking-App infiltrieren und das Konto anzapfen.
Das Sicherheitsunternehmen hat mehr als 400 Banken und Finanzinstitute weltweit sowie Krypto-Wallets ausgemacht, die von der Xenomorph-Kampagne anvisiert sind. Im Vergleich zur früheren Testphase sind das ein Anstieg um das Sechsfache. Die Hadoken Security Group bietet Xenomorph auf einer eigenen Webseite zudem zum Verkauf als „MaaS“ (Malware as a Service; dt. Malware als Dienst) an. Das ist in der Regel ein Indikator für die großflächige Verbreitung einer Malware-Kampagne.
Auch in Deutschland sind Nutzer im Visier der Hacker
Zwar sind andere Länder noch schwerwiegender betroffen, aber auch in Deutschland zielt Xenomorph auf insgesamt 18 Banken und Finanzinstitute ab. Darunter befinden sich Apps etwa von ING Diba, Norisbank, Comdirect, Commerzbank, Consorsbank, N26, Postbank, Deutsche Bank und Sparda-Bank.
ThreatFabric hat zudem herausgefunden, dass die Xenomorph-Malware an den weit verbreiteten Zombinder-Dropper gekoppelt ist. Dropper erscheinen als legitime Apps im Google Play Store, können aber nach der Installation ihre Malware „droppen“. Sie öffnen dazu eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Mit diesem „Update“ gelangt Xenomorph dann auf das Smartphone.
Es ist zumindest eine App bekannt, die die Malware einschleusen kann. Dabei handelt es sich um den Währungsumrechner CoinCalc von Entwickler Sam Ruston. Die App steht zum jetzigen Zeitpunkt weiterhin im Play Store zur Verfügung. Nutzer, die sie bereits installiert haben, sollten sie umgehend löschen.
Gefälschte Rewards-Apps versprechen Belohnungen gegen Werbung
Das IT-Sicherheitsunternehmen „Dr. Web“ hat eine Reihe von Malware-verseuchten Apps ausgemacht, die es als „FakeMoney“-Kampagnen bezeichnet. Dabei handelt es sich um Apps, die Belohnungen versprechen. Eine davon, „Wonder Time“, gibt Tokens aus, wenn Nutzer andere Apps installieren, starten und benutzen. Diese Tokens können gegen Geld eingetauscht werden – allerdings erhält man nur wenige Tokens pro App und benötigt Millionen, um sie eintauschen zu können. Andere „FakeMoney“-Apps wie „Lucky Habit: health tracker”, „WalkingJoy” und „Lucky Step-Walking Tracker” versprechen Errungenschaften, etwa für gelaufene Distanzen oder eine gesunde Tagesroutine. Zusätzliche Belohnungen gibt es für das Anschauen von Werbung. Insgesamt wurden die Apps mehr als 20 Millionen mal geladen.
Am Ende geben diese App aber weder Geld noch anderweitige Belohnungen aus, sondern generieren lediglich Werbeeinnahmen für die Entwickler. In einem besonders perfiden Fall gab die App „Lucky Step-Walking Tracker” sogar Belohnungen in Form von Online-Geschenkkarten aus. Doch mit einem Update entfernte der Entwickler diese Funktion, sodass alle angesammelten Belohnungen auf einmal wertlos waren.
Diese Apps sollten Nutzer sofort löschen
Google hat die von Dr. Web gemeldeten Apps erst kürzlich aus dem Play Store entfernt. Betroffenen Nutzer sollten diese Apps nun schnellstmöglich von ihrem Smartphone löschen:
- Lucky Step-Walking Tracker – 10 Millionen+ Downloads
- Lucky Habit: health tracker – 5 Millionen+ Downloads
- WalkingJoy – 5 Millionen+ Downloads
- Wonder Time – 500.000+ Downloads
Millionen Android-Nutzer von Spyware und Adware betroffen
Im Oktober 2023 hat Dr. Web zahlreiche Apps gefunden, die mit Spyware und Adware infiziert waren. Letztere überhäufen die Nutzer mit Werbung, um Einnahmen für die bösartigen Akteure zu generieren. Aber auch die noch gefährlichere Spyware ist in einer Reihe von installierten Apps versteckt gewesen. Diese kann nicht nur Nutzerdaten stehlen, sondern selbst App installieren und dadurch Phishing-Attacken starten.
WhatsApp-Klone mit Spyware infiziert
Den Daten aus dem Oktober zufolge ist der „Android.Spy.4498“-Trojaner die am weitesten verbreitete Malware auf Android-Smartphones. Android.Spy.4498 ist unter anderem in WhatsApp-Klonen wie GBWhatsApp, OBWhatsApp und WhatsApp Plus versteckt, die millionenfach heruntergeladen wurden.
Der Trojaner kann Benachrichtigungen auslesen und Nutzer auf gefälschte Update-Seiten locken, um weitere Malware-Apps zu installieren.
Adware im Play Store weiterhin ein Problem
Vor allem Adware ist im Google Play Store auf dem Vormarsch. Im Vergleich zu anderen Malware-Arten ist Adware weniger gefährlich, da Hacker damit in der Regel nicht auf Nutzerdaten aus sind. Stattdessen zeigen mit Adware infizierte Apps exzessiv Werbung an, die für die Hacker Werbeeinnahmen generiert. In einem Fall, den Dr. Web aufgedeckt hat, verspricht eine App den Nutzern sogar Geld, wenn sie sich Werbung anschauen. In der App „TubeBox“ sollten sie Werbung anschauen und dafür In-App-Währung sammeln. Beim Versuch, sich dieses Geld auszahlen zu lassen, bekamen die Nutzer aber nur Fehlermeldungen. Statt selbst Geld einzunehmen haben sie somit nur Einnahmen für die Cyberkriminellen generiert.
Diese Apps sollten Nutzer sofort löschen
Google hat die von Dr. Web gemeldeten Apps erst kürzlich aus dem Play Store entfernt. Betroffenen Nutzer sollten diese Apps nun schnellstmöglich von ihrem Smartphone löschen:
- TubeBox – 1 Million+ Downloads
- Bluetooth device auto connect – 1 Million+ Downloads
- Bluetooth & Wi-Fi & USB driver – 100.000+ Downloads
- Volume, Music Equalizer – 50.000+ Downloads
- Fast Cleaner & Cooling Master – 500+ Downloads
Banking-Trojaner „Sharkbot“ zielt auf deutsche Banken ab
Erst kürzlich hat TECHBOOK über eine Malware-Kampagne mit dem „Sharkbot“-Banking-Trojaner berichtet. Unter anderem zielen Hacker mit dem Trojaner auch auf die Banking-Daten von Apps wie N26, PayPal, Targobank, Sparkasse, Postbank und Commerzbank in Deutschland ab.
Malware wird per App eingeschleust
Cyberkriminelle benutzen sogenannte „Dropper-Apps“, um die Malware auf Smartphones einzuschleusen. Diese Apps stehen im Google Play Store zur Verfügung und sind allem Anschein nach legitim. Erst wenn sie zu einem Update auffordern, beginnt die Installation von Malware. Dazu öffnet die App in der Regel eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Statt des Updates kommt aber der Banking-Trojaner auf das Smartphone.
Besonders perfide sind jedoch Dropper-Apps, die als Datei-Manager getarnt sind. Damit diese auf Dateien zugreifen können, muss man ihnen die Berechtigung geben. Diese missbrauchen die Apps dann jedoch, um unbemerkt Malware auf das Android-Smartphone zu laden. Eine Kampagne mit Datei-Managern, die den „Sharkbot“-Trojaner enthielten, haben Forscher der rumänischen Cybersicherheits-Firma Bitdefender gefunden.
Diese Android-Apps sollten Nutzer sofort löschen
Hacker haben mit der Kampagne Nutzer in Deutschland, Italien, Iran und vor allem in UK im Visier. Google hat die Apps zwar mittlerweile aus dem Play Store gelöscht, in anderen App Stores sind sie aber noch zu finden. Vor allem, wer die Apps bereits installiert hat, sollte sie schleunigst vom Smartphone löschen. Hier ist die aktuelle Liste:
- X-File Manager – 10.000 downloads
- FileVoyager – 5000 downloads
- Phone AID, Cleaner, Booster – 15.000 downloads
- LiteCleaner M – 1000 downloads
- File Manager Small, Lite
„Clicker“-Viren im Google Play Store
Computersicherheitsfirma McAfee hat 16 Android-Apps identifiziert, die sogenannte „Clicker“-Malware enthalten. Dabei handelt es sich um eine Art Schadsoftware, die im Hintergrund automatisch Webseiten mit Werbung besucht. Die Apps selbst tarnen sich als nützliche Werkzeuge wie Barcode-Scanner, Taschenlampe und Währungsrechner. Insgesamt wurden die Apps 20 Millionen mal aus dem Play Store heruntergeladen.
Wie funktioniert „Clicker“-Malware?
Nach der Installation sendet eine mit dieser Schadsoftware infizierte App ein Signal an einen Remote-Server. Von dort bekommt sie den Befehl, im Hintergrund massenhaft Webseiten mit Werbung zu öffnen. Durch das Anklicken von Werbung auf diesen Seiten werden Einnahmen für die Hacker generiert. Die Nutzer bekommen davon kaum etwas mit. Der Prozess macht sich höchstens dadurch bemerkbar, dass die Apps hohen Internet-Traffic generieren und dadurch viel Strom verbrauchen.
Diese Android-Apps sollten Nutzer sofort löschen
McAfee hat die infizierten Apps bereits an Google gemeldet und sie wurden aus dem Play Store entfernt. Wie gewohnt liegt es nun jedoch an den Nutzern, die Apps selbst von ihren Smartphones zu löschen. Hier ist die vollständige Liste:
| App-Name | Package-Name | Downloads |
|---|---|---|
| High-Speed Camera | com.hantor.CozyCamera | 10.000.000+ |
| Smart Task Manager | com.james.SmartTaskManager | 5.000.000+ |
| Flashlight+ | kr.caramel.flash_plus | 1.000.000+ |
| K-Dictionary | com.joysoft.wordBook | 1.000.000+ |
| BusanBus | com.kmshack.BusanBus | 1.000.000+ |
| 달력메모장 | com.smh.memocalendar | 1.000.000+ |
| Currency Converter | com.smartwho.SmartCurrencyConverter | 500.000+ |
| Quick Note | com.movinapp.quicknote | 500.000+ |
| Flashlight+ | com.candlencom.candleprotest | 500.000+ |
| EzDica | com.joysoft.ezdica | 100.000+ |
| EzNotes | com.meek.tingboard | 100.000+ |
| Instagram Profile Downloader | com.schedulezero.instapp | 100.000+ |
| Joycode | com.joysoft.barcode | 100.000+ |
| 손전등 | com.candlencom.flashlite | 1000+ |
| Flashlight+ | com.dev.imagevault | 100+ |
| 계산기 | com.doubleline.calcul | 100+ |
Adware-Viren in iOS und Android
Die Sicherheitsforscher von „Human“ haben Dutzende Apps in Apples App Store und Googles Play Store gefunden, die mit sogenannter Adware verseucht sind. Immer wieder schleusen Hacker ihre bösartigen Apps an den Sicherheitsvorkehrungen der App Stores vorbei. So kommt es, dass Viren-behaftete Apps für iOS und Android oft erst gefunden werden, wenn sie bereits auf vielen Smartphones installiert sind.
Bei der Adware-Kampagne handelt es sich um Werbebetrug. Das ist ein bekanntes Problem: Laut dem Human-Sicherheitsreport ist es die nunmehr dritte Welle, nach ähnlichen Kampagnen in den Jahren 2019 und 2020. Das „Satori Threat Intelligence & Research“-Team hatte die Operation 2019 aufgedeckt ihr den Namen „Poseidon“ gegeben. Ausläufer der Operation sind „Charybdis“ (2020) und aktuell „Scylla“.
Aktuelle Artikel
Diese iOS- und Android-Apps sind mit Malware „Scylla“ infiziert
Human hat in Zuge seiner Nachforschungen Apple und Google von den Ergebnissen berichtet. Beide Unternehmen haben mittlerweile die betroffenen Apps aus ihren Stores gelöscht. Sind die Apps bereits auf iPhone oder Android-Smartphone installiert, werden sie jedoch nicht automatisch entfernt. Die Nutzer müssen also selbst Hand anlegen und sie von ihren Smartphones löschen.
Insgesamt sind 9 iOS-Apps und 75 Android-Apps von der Adware-Kampagne betroffen. Zusammen wurden die Apps mehr als 13 Millionen mal heruntergeladen. Eine gekürzte Übersicht der Viren-behafteten iOS- und Android-Apps finden Sie hier:
| iOS |
|---|
| Loot the Castle |
| Run Bridge |
| Shinning Gun |
| Racing Legend 3D |
| Rope Runner |
| Wood Sculptor |
| Fire-Wall |
| Ninja Critical Hit |
| Android | |
|---|---|
| Super Hero-Save the world! | 1.000.000 Downloads |
| Spot 10 Differences | 1.000.000 Downloads |
| Find 5 Differences - New | 1.000.000 Downloads |
| Dinosaur Legend | 1.000.000 Downloads |
| One Line Drawing | 1.000.000 Downloads |
| Shoot Master | 1.000.000 Downloads |
| Talent Trap - NEW | 1.000.000 Downloads |
| Arrow Coins | 500.000 Downloads |
| Parking Master | 500.000 Downloads |
Die komplette Liste gibt es auf der Seite des Human-Sicherheitsreports.
Wie Sie sich vor Malware in iOS und Android schützen können
Sowohl Google als auch Apple haben nach wie vor Probleme mit Malware hat, die trotz Sicherheitsvorkehrungen in die App Stores gelangen. Die Verantwortung liegt daher zu einem Großteil bei den Nutzern. Sie sollten darauf achten, im Bestfall nur Apps von verlässlichen Entwicklern zu installieren. Sind Sie sich unsicher, können die App-Bewertungen im App Store oft weiterhelfen. Gibt es hier viele negative Stimmen und Warnungen, sollten Sie die Finger von der App lassen.
Viele mit Malware infizierte Apps für iOS und Android verbrauchen durch ihre Hintergrundaktivitäten mobile Daten und verkürzen die Akkulaufzeit. Nutzer sollten daher regelmäßig Daten- und Akkuverbrauch prüfen, um auffälliges Verhalten früh erkennen und die entsprechenden Apps löschen zu können.
Quellen
- McAfee: „New Malicious Clicker found in apps installed by 20M+ users“ (aufgerufen am 1. November 2022)
- Human: „Poseidon’s Offspring: Charybdis and Scylla“ (aufgerufen am 28. September 2022)
- Digitaltrends: „These 80+ apps could be running adware on your iPhone or Android device“ (aufgerufen am 28. September 2022)
- Bitdefender: „Android SharkBot Droppers on Google Play Underline Platform’s Security Needs“ (aufgerufen am 23. November 2022)
- Dr. Web: „Doctor Web’s October 2022 review of virus activity on mobile devices“ (aufgerufen am 6. Dezember 2022)
- Dr. Web: „Doctor Web’s December 2022 review of virus activity on mobile devices“ (aufgerufen am 31. Januar 2023)
