25. September 2024, 12:01 Uhr | Lesezeit: 12 Minuten

Immer wieder schaffen es Hacker, bösartige Software vorbei an Sicherheitsmaßnahmen in die App-Stores von Apple und Google einzuschleusen.

Malware Necro zu Android zurückgekehrt

Aktuell warnen Sicherheitsexperten von Kaspersky vor der Rückkehr des Trojaners Necro. Diesen fand man bereits 2019 zum ersten Mal in einer App namens CamScanner, die damals mehr als 100 Millionen mal heruntergeladen wurde. Nun soll die Malware zurück sein und dieses Mal hat sie sowohl sehr beliebte Mods von zum Beispiel Spotify oder Minecraft im Google Play Store als auch in inoffiziellen Kanälen infiltriert.

Bei Erscheinen des Reports könnten allein durch die Apps im Play Store mehr als elf Millionen Android-Geräte gefährdet sein. Und Necro hat dazugelernt, denn das Schadprogramm nutzt Steganografie und andere Taktiken, um sich und seine Datenpakete zu verstecken – die Steganografie soll eigentlich sehr selten bei Schadsoftware für mobile Geräte vorkommen. Weltweit konnten die Experten bereits zahlreiche Fälle ausmachen, wobei besonders Russland und Brasilien hervorstechen. Aber auch mehrere Vorkommnisse in Deutschland registrierte man.

Die neue Necro-Variante kann unter anderem Werbung in versteckten Fenstern anzeigen, Dateien herunterladen und ausführen, eigene Anwendungen herunterladen und installieren, Code ausführen und potenziell sogar Anmeldungen bei kostenpflichtigen Diensten vornehmen.

Diese Apps sind vom neuen Necro-Trojaner betroffen

Aktuell sind zwei reguläre Android-Apps mit Necro infiziert, von denen Sie dringend Abstand nehmen sollten:

• Wuta Camera Nice Shot Always ist immer noch im Google Play Store zu finden und wurde bereits mehr als zehn Millionen Mal heruntergeladen.
• Max Browser-Private & Security ist mittlerweile aus dem Play Store verschwunden, nachdem Kaspersky Google darauf aufmerksam gemacht hat. Bis dahin ist sie aber auf mehr als eine Million Geräte geladen worden.

Ferner existieren von weiteren, teils sehr berühmten Apps auch inoffizielle Modifikationen, die auf alternativen Wegen Verbreitung finden und die infiziert sind:

• Spotify
• WhatsApp
• Minecraft
• Car Parking Multiplayer
• Melon Sandbox

Einige der betroffenen Mods lassen sich am Namen erkennen. Sollten sie im Netz also über „Spotify Plus“, „GBWhatsApp“ oder „FMWhatsApp“ stolpern, ignorieren Sie die Anwendungen am besten, ganz gleich, was sie Ihnen an Verbesserungen versprechen.

Kaspersky empfiehlt, die Apps zu löschen oder ein Update aufzuspielen, bei dem die Malware entfernt ist. Ferner sollte man ohnehin nur Apps über offizielle Kanäle beziehen, um das Risiko möglichst gering zu halten.

Adware infiltriert jahrelang unentdeckt Android-Smartphones

Für Entwickler stellt die Einbindung von Werbung eine sichere Einnahmequelle dar, die oft mehr Geld einbringt, als eine App kostenpflichtig zu machen. Je mehr Werbung eine App ausspielt, desto mehr Einnahmen generiert sie. Für Nutzer ist zu viel Werbung aber ein Störfaktor. Immer mehr Apps laden Anzeigen deshalb im Hintergrund – auch während der Bildschirm aus ist. Das wirkt auf den ersten Blick wie eine Win-win-Situation: Entwickler bekommen mehr Geld und Nutzer müssen keine Werbung sehen. In der Realität widerspricht das aber den Richtlinien sowohl in Googles Play Store als auch im Apple App Store. Und auch auf die Nutzer selbst hat diese Praxis negative Auswirkungen.

„Clicker“-Apps verbrauchen Strom und Daten im Hintergrund

Adware ist eine bekannte Betrugsmethode, die sowohl auf Android als auch iOS verbreitet ist. Die Sicherheitsforscher von McAfee Labs entdecken immer wieder neue Kampagnen mit der Schadsoftware, die in einigen Fällen jahrelang getarnt blieben.

Es handelt sich um sogenannte „Clicker“-Apps, die im Hintergrund automatisch Websites mit Werbung besuchen. Nach der Installation sendet eine mit dieser Schadsoftware infizierte App ein Signal an einen Remote-Server. Von dort bekommt sie den Befehl, im Hintergrund massenhaft Websites mit Werbung zu öffnen. Oft fragen die betroffenen Apps nach Zugriffsrechten – etwa die Ausnahme von Stromsparfunktionen und die Erlaubnis, sich über andere Apps zu legen. Damit können sie selbst im ausgeschalteten Zustand Werbung „anzeigen“, ohne dass jemand etwas davon mitbekommt.

Nicht nur bezahlen Werbetreibende somit für die Ausspielung von Anzeigen, die niemand sehen kann. Auch für Nutzer hat Adware negative Auswirkungen. Erstens führen die Clicker-Apps zu einem erhöhten Strom- und Datenverbrauch, weil sie auch im Hintergrund unentwegt weiter agieren. Zweites – und potenziell schwerwiegender–: Sie können auch ein Sicherheitsrisiko darstellen. Wenn sie die Möglichkeit haben, sich über andere Apps zu legen, erleichtert das Angreifern, Phishing-Attacken mit gefälschten Apps oder Websites durchzuführen.

Lesen Sie auch: 3 Apps, mit denen man spielend eine neue Sprache lernen kann

Diese Adware-infizierten Apps sollten Nutzer sofort löschen

McAfee hat 13 Apps mit insgesamt mehr als 320.000 Downloads aus dem Google Play Store identifiziert, die mit Xamalicious infiziert sind. Zwar hat Google diese bereits aus dem Play Store entfernt, in Drittanbieter-Stores und Online-App-Libraries sind sie aber weiterhin zu finden. Außerdem müssen Nutzer bereits installierte Apps in einigen Fällen manuell löschen.

• Essential Horoscope for Android (com.anomenforyou.essentialhoroscope) – 100.000 Downloads
• 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft) – 100.000 Downloads
• Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) – 100.000 Downloads
• Auto Click Repeater (com.autoclickrepeater.free) – 10.000 Downloads
• Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator) – 10.000 Downloads
• Sound Volume Extender (com.muranogames.easyworkoutsathome) – 5000 Downloads
• LetterLink (com.regaliusgames.llinkgame) – 1000 Downloads
• NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER) – 1000 Downloads
• Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter) – 500 Downloads
• Track Your Sleep (com.shvetsStudio.trackYourSleep) – 500 Downloads
• Sound Volume Booster (com.devapps.soundvolumebooster) – 100 Downloads
• Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro) – 100 Downloads
• Universal Calculator (com.Potap64.universalcalculator) – 100 Downloads

Malware in Datei-Manager-Apps versteckt

Die Computer-Sicherheitsfirma Pradeo hat zwei Spyware-Distributionen identifiziert, die sich als legitime Datei-Manager im Google Play Store getarnt haben. Bösartige Akteure können Spyware dazu verwenden, Nutzerdaten zu stehlen und mit diesen Daten maßgefertigte Phishing-Attacken zu starten.

Hiluckey Wireless Solar Power Bank

26800mAh wasserdichte Power Bank für Smartphones, Tablets und mehr

JETZT AUF AMAZON

In diesem Fall ist die Schadsoftware so programmiert, dass sie automatisch starten und unauffällig sensible Daten an Server in China senden – ohne dass die Nutzer davon etwas mitbekommen. Laut der Datensicherheit-Angabe im Play Store greifen die Apps angeblich nicht auf Daten zu. Pradeo hat jedoch herausgefunden, dass das Gegenteil der Fall ist. Der Report zeigt auf, dass die Apps folgende Daten auslesen:

• Kontaktlisten auf dem Smartphone selbst und von Diensten wie E-Mail und Social Media
• Alle Arten von Medien – darunter Bilder, Videos und Audio – auf die in den Datei-Manager-Apps zu finden sind
• Echtzeit-Standort
• Name und Code des Netzwerk- bzw. SIM-Providers
• Informationen über Betriebssystem und Sicherheits-Patch-Level
• Smartphone-Modell

Diese Apps sind mit Spyware infiziert

Laut dem Pradeo-Report sind bis 1,5 Millionen Android-Nutzer betroffen. Das Unternehmen hat Google bereits unterrichtet. Die Apps sind mittlerweile gelöscht und auch der Entwickler-Account „wang tom“ ist nicht mehr aufzufinden. Wer die Apps noch auf dem Smartphone installiert hat, sollte sie schnellstmöglich entfernen.

• File Recovery and Data Recovery (com.spot.music.filedate) – 1 Million+ Downloads
• File Manager (com.file.box.master.gkd) – 500.000+ Downloads  

Abo-Trojaner „Fleckpe“ verursacht wiederkehrende Kosten

Das Computer-Sicherheitsunternehmen Kaspersky hat eine neue Malware-Kampagne entdeckt, die auf Android-Nutzer abzielt. Dabei handelt es sich um einen Trojaner, der harmlos wirkende Apps infiziert und dann im Hintergrund unbemerkt kostenpflichtige Abonnements abschließt. Kaspersky hat die Kampagne „Fleckpe“ getauft und gibt an, dass mehr als 620.000 Smartphones weltweit damit infiziert seien.

Wie in vielen anderen bekannten Beispielen halten die betroffenen Apps meist das, was sie versprechen. Das macht diese Art der Attacken deshalb auch so gefährlich. Doch ein sogenannter „Dropper“ im Code führt einen „Payload“ aus, der in den App-Bestandteilen versteckt ist. Dieser wiederum kontaktiert die Server der kriminellen Akteure und sendet Geräteinformationen wie das Land und den Mobilfunkanbieter des Opfers. Der Server schickt dann eine Website mit einem kostenpflichtigen Abo-Dienst. Der Trojaner versucht, das Abo abzuschließen. Ist eine Bestätigung nötig, erfolgt diese per Benachrichtigung – in der Regel fragt die App die Berechtigung dazu beim ersten Start ab.

Diese Apps sollten Nutzer sofort löschen

Der Trojaner ist hauptsächlich in Apps zu Foto-Bearbeitung und Wallpaper-Packs zu finden. Mittlerweile hat Google die entsprechenden Apps aus dem Play Store gelöscht. Wer sie bereits installiert hat, muss die Löschung aber manuell durchführen. Hier ist die Liste der betroffenen Apps:

• Impressionism Pro Camera (com.impressionism.prozs.app)
• Photo Effect Editor (com.picture.pictureframe)
• Beauty Slimming Photo Editor (com.beauty.slimming.pro)
• Beauty Camera Plus (com.beauty.camera.plus.photoeditor)
• Microclip Video Editor (com.microclip.vodeoeditor)
• GIF Camera Editor Pro (com.apps.camera.photos)
• Photo Camera Editor (com.toolbox.photoeditor)
• HD 4K Wallpaper (com.hd.h4ks.wallpaper)
• Fingertip Graffiti (com.draw.graffiti)
• Night Mode Camera Pro (com.urox.opixe.nightcamreapro)

Neuartige Malware automatisiert den Diebstahl von Banking-Daten

Bislang zielen Malware-Kampagnen in der Regel darauf ab, durch gefälschte Webseiten oder Social Engineering Nutzer dazu zu bringen, ihre Banking-Daten preiszugeben. Eine neuartige Schadsoftware, die von dem Hacker-Verbund Hadoken Security Group entwickelt wird, geht jedoch einen Schritt weiter. Die Sicherheitsforscher von ThreatFabric haben die Kampagne im Februar 2022 entdeckt und der Malware den Namen „Xenomorph“ – die extrem gefährliche Kreatur aus den „Alien“-Filmen – gegeben.

Damals berichtete ThreatFabric lediglich von einer eingeschränkten Verteilung der Xenomorph-Malware, die auf einen Testlauf hindeuteten. Doch nun hat das Sicherheitsunternehmen eine neue Variante entdeckt: Xenomorph.C. Was diese Variante so gefährlich macht, ist ihr komplett automatisierter Prozess. Die Hacker machen sich dafür die Android-Bedienungshilfen und automatisierte Transfersysteme (ATS) zunutze. ATS erlauben es den Hackern, Transaktionen auf infizierten Geräten auszuführen. Die Malware kann damit automatisch Login-Daten und Kontostand herausfinden und sogar Überweisungen tätigen und mit Multi-Faktor-Authentifizierung (MFA) bestätigen. ATS können diese Prozesse auf den Smartphones ihrer Opfer auszuführen, ohne dass diese etwas davon mitbekommen.

Das macht Xenomorph.C zu einer der ausgeklügelsten Malwares, die aktuell im Umlauf sind. Das Programm automatisiert laut ThreatFabric „die komplette Betrugskette, von Infektion bis Geldabschöpfung“. Dafür waren bislang oft mehrere, einzelne Schritte notwendig, in denen die Hacker erst an Login-Daten und dann unentdeckt in die Banking-Apps selbst kommen mussten. Kommen Nutzer aber mit Xenomorph.C in Kontakt, kann die Malware ohne weiteres Zutun die Banking-App infiltrieren und das Konto anzapfen.

Das Sicherheitsunternehmen hat mehr als 400 Banken und Finanzinstitute weltweit sowie Krypto-Wallets ausgemacht, die von der Xenomorph-Kampagne anvisiert sind. Im Vergleich zur früheren Testphase sind das ein Anstieg um das Sechsfache. Die Hadoken Security Group bietet Xenomorph auf einer eigenen Website zudem zum Verkauf als „MaaS“ (Malware as a Service; dt. Malware als Dienst) an. Das ist in der Regel ein Indikator für die großflächige Verbreitung einer Malware-Kampagne.

Auch in Deutschland sind Nutzer im Visier der Hacker

Zwar sind andere Länder noch schwerwiegender betroffen, aber auch in Deutschland zielt Xenomorph auf insgesamt 18 Banken und Finanzinstitute ab. Darunter befinden sich Apps etwa von ING Diba, Norisbank, Comdirect, Commerzbank, Consorsbank, N26, Postbank, Deutsche Bank und Sparda-Bank.

ThreatFabric hat zudem herausgefunden, dass die Xenomorph-Malware an den weitverbreiteten Zombinder-Dropper gekoppelt ist. Dropper erscheinen als legitime Apps im Google Play Store, können aber nach der Installation ihre Malware „droppen“. Sie öffnen dazu eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Mit diesem „Update“ gelangt Xenomorph dann auf das Smartphone.

Es ist zumindest eine App bekannt, die die Malware einschleusen kann. Dabei handelt es sich um den Währungsrechner CoinCalc von Entwickler Sam Ruston. Die App steht zum jetzigen Zeitpunkt weiterhin im Play Store zur Verfügung. Nutzer, die sie bereits installiert haben, sollten sie umgehend löschen.

Gefälschte Rewards-Apps versprechen Belohnungen gegen Werbung

Das IT-Sicherheitsunternehmen „Dr. Web“ hat eine Reihe von Malware-verseuchten Apps ausgemacht, die es als „FakeMoney“-Kampagnen bezeichnet. Dabei handelt es sich um Apps, die Belohnungen versprechen. Eine davon, „Wonder Time“, gibt Tokens aus, wenn Nutzer andere Apps installieren, starten und benutzen. Diese Tokens können gegen Geld eingetauscht werden – allerdings erhält man nur wenige Tokens pro App und benötigt Millionen, um sie eintauschen zu können. Andere „FakeMoney“-Apps wie „Lucky Habit: health tracker”, „WalkingJoy” und „Lucky Step-Walking Tracker” versprechen Errungenschaften, etwa für gelaufene Distanzen oder eine gesunde Tagesroutine. Zusätzliche Belohnungen gibt es für das Anschauen von Werbung. Insgesamt wurden die Apps mehr als 20 Millionen mal geladen.

Am Ende geben diese App aber weder Geld noch anderweitige Belohnungen aus, sondern generieren lediglich Werbeeinnahmen für die Entwickler. In einem besonders perfiden Fall gab die App „Lucky Step-Walking Tracker“ sogar Belohnungen in Form von Online-Geschenkkarten aus. Doch mit einem Update entfernte der Entwickler diese Funktion, sodass alle angesammelten Belohnungen auf einmal wertlos waren.

Diese Apps sollten Nutzer löschen

Google hat die von Dr. Web gemeldeten Apps erst kürzlich aus dem Play Store entfernt. Betroffene Nutzer sollten diese Apps nun schnellstmöglich von ihrem Smartphone löschen:

• Lucky Step-Walking Tracker – 10 Millionen+ Downloads
• Lucky Habit: health tracker – 5 Millionen+ Downloads
• WalkingJoy – 5 Millionen+ Downloads
• Wonder Time – 500.000+ Downloads

Mehr zum Thema

Mehr als 300.000 Geräte betroffen Virenverseucht! Diese Apps sollten Sie sofort löschen

Unbemerkt eingeschleust Achtung! Bereits 150.000 Android-Smartphones mit Banking-Trojaner infiziert

Banking-Trojaner 5 Apps, die Ihr Bankkonto auf dem Handy bedrohen

Wie Sie sich vor Malware in iOS und Android schützen können

Sowohl Google als auch Apple haben nach wie vor Probleme mit Malware hat, die trotz Sicherheitsvorkehrungen in die App Stores gelangen. Die Verantwortung liegt daher zu einem Großteil bei den Nutzern. Sie sollten darauf achten, im Bestfall nur Apps von verlässlichen Entwicklern zu installieren. Sind Sie sich unsicher, können die App-Bewertungen im App Store oft weiterhelfen. Gibt es hier viele negative Stimmen und Warnungen, sollten Sie die Finger von der App lassen.

Viele mit Malware infizierte Apps für iOS und Android verbrauchen durch ihre Hintergrundaktivitäten mobile Daten und verkürzen die Akkulaufzeit. Nutzer sollten daher regelmäßig Daten- und Akkuverbrauch prüfen, um auffälliges Verhalten früh erkennen und die entsprechenden Apps löschen zu können.