VG Wort
Direkt zum Inhalt wechseln
logo Mobiler Lifestyle, Streaming und Smart Finance
Eine Marke von Bild
Infizierte Apps sofort löschen!

Diese Malware-Kampagnen bedrohen derzeit Android-Geräte und iPhones

Trotz vieler Sicherheitsvorkehrungen sind iPhone und Android-Smartphones oft Ziel von Malware-Angriffen
Trotz vieler Sicherheitsvorkehrungen sind App Stores oft Ziel von Malware-Angriffen Foto: Getty Images
Adrian Mühlroth
Redakteur

10.01.2024, 15:57 Uhr | Lesezeit: 12 Minuten

Immer wieder schaffen es Hacker, bösartige Software vorbei an Sicherheitsmaßnahmen in die App Stores von Apple und Google einzuschleusen.

Artikel teilen

Sicherheitsforscher verschiedenster Unternehmen sind ständig damit beschäftigt, Malware aufzuspüren, die sich in Apps für iOS und Android versteckt. TECHBOOK sammelt alle aktuellen Warnungen in diesem Artikel.

Übersicht

Adware infiltriert jahrelang unentdeckt Android-Smartphones

Für Entwickler stellt die Einbindung von Werbung eine sichere Einnahmequelle dar, die oft mehr Geld einbringt, als eine App kostenpflichtig zu machen. Je mehr Werbung eine App ausspielt, desto mehr Einnahmen generiert sie. Für Nutzer ist zu viel Werbung aber ein Störfaktor. Immer mehr Apps laden Anzeigen deshalb im Hintergrund – auch während der Bildschirm aus ist. Das wirkt auf den ersten Blick wie eine Win-win-Situation: Entwickler bekommen mehr Geld und Nutzer müssen keine Werbung sehen. In der Realität widerspricht das aber den Richtlinien sowohl in Googles Play Store als auch im Apple App Store. Und auch auf die Nutzer selbst hat diese Praxis negative Auswirkungen.

„Clicker“-Apps verbrauchen Strom und Daten im Hintergrund

Adware ist eine bekannte Betrugsmethode, die sowohl auf Android als auch iOS verbreitet ist. Die Sicherheitsforscher von McAfee Labs entdecken immer wieder neue Kampagnen mit der Schadsoftware, die in einigen Fällen jahrelang getarnt blieben.

Es handelt sich um sogenannte „Clicker“-Apps, die im Hintergrund automatisch Websites mit Werbung besuchen. Nach der Installation sendet eine mit dieser Schadsoftware infizierte App ein Signal an einen Remote-Server. Von dort bekommt sie den Befehl, im Hintergrund massenhaft Websites mit Werbung zu öffnen. Oft fragen die betroffenen Apps nach Zugriffsrechten – etwa die Ausnahme von Stromsparfunktionen und die Erlaubnis, sich über andere Apps zu legen. Damit können sie selbst im ausgeschalteten Zustand Werbung „anzeigen“, ohne dass jemand etwas davon mitbekommt.

Nicht nur bezahlen Werbetreibende somit für die Ausspielung von Anzeigen, die niemand sehen kann. Auch für Nutzer hat Adware negative Auswirkungen. Erstens führen die Clicker-Apps zu einem erhöhten Strom- und Datenverbrauch, weil sie auch im Hintergrund unentwegt weiter agieren. Zweites – und potenziell schwerwiegender–: Sie können auch ein Sicherheitsrisiko darstellen. Wenn sie die Möglichkeit haben, sich über andere Apps zu legen, erleichtert das Angreifern, Phishing-Attacken mit gefälschten Apps oder Websites durchzuführen.

Lesen Sie auch: 3 Apps, mit denen man spielend eine neue Sprache lernen kann

Diese Adware-infizierten Apps sollten Nutzer sofort löschen

McAfee hat 13 Apps mit insgesamt mehr als 320.000 Downloads aus dem Google Play Store identifiziert, die mit Xamalicious infiziert sind. Zwar hat Google diese bereits aus dem Play Store entfernt, in Drittanbieter-Stores und Online-App-Libraries sind sie aber weiterhin zu finden. Außerdem müssen Nutzer bereits installierte Apps in einigen Fällen manuell löschen.

  • Essential Horoscope for Android (com.anomenforyou.essentialhoroscope) – 100.000 Downloads
  • 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft) – 100.000 Downloads
  • Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) – 100.000 Downloads
  • Auto Click Repeater (com.autoclickrepeater.free) – 10.000 Downloads
  • Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator) – 10.000 Downloads
  • Sound Volume Extender (com.muranogames.easyworkoutsathome) – 5000 Downloads
  • LetterLink (com.regaliusgames.llinkgame) – 1000 Downloads
  • NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER) – 1000 Downloads
  • Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter) – 500 Downloads
  • Track Your Sleep (com.shvetsStudio.trackYourSleep) – 500 Downloads
  • Sound Volume Booster (com.devapps.soundvolumebooster) – 100 Downloads
  • Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro) – 100 Downloads
  • Universal Calculator (com.Potap64.universalcalculator) – 100 Downloads

Malware in Datei-Manager-Apps versteckt

Die Computer-Sicherheitsfirma Pradeo hat zwei Spyware-Distributionen identifiziert, die sich als legitime Datei-Manager im Google Play Store getarnt haben. Bösartige Akteure können Spyware dazu verwenden, Nutzerdaten zu stehlen und mit diesen Daten maßgefertigte Phishing-Attacken zu starten.

In diesem Fall ist die Schadsoftware so programmiert, dass sie automatisch starten und unauffällig sensible Daten an Server in China senden – ohne dass die Nutzer davon etwas mitbekommen. Laut der Datensicherheit-Angabe im Play Store greifen die Apps angeblich nicht auf Daten zu. Pradeo hat jedoch herausgefunden, dass das Gegenteil der Fall ist. Der Report zeigt auf, dass die Apps folgende Daten auslesen:

  • Kontaktlisten auf dem Smartphone selbst und von Diensten wie E-Mail und Social Media
  • Alle Arten von Medien – darunter Bilder, Videos und Audio – auf die in den Datei-Manager-Apps zu finden sind
  • Echtzeit-Standort
  • Name und Code des Netzwerk- bzw. SIM-Providers
  • Informationen über Betriebssystem und Sicherheits-Patch-Level
  • Smartphone-Modell

Diese Apps sind mit Spyware infiziert

Laut dem Pradeo-Report sind bis 1,5 Millionen Android-Nutzer betroffen. Das Unternehmen hat Google bereits unterrichtet. Die Apps sind mittlerweile gelöscht und auch der Entwickler-Account „wang tom“ ist nicht mehr aufzufinden. Wer die Apps noch auf dem Smartphone installiert hat, sollte sie schnellstmöglich entfernen.

  • File Recovery and Data Recovery (com.spot.music.filedate) – 1 Million+ Downloads
  • File Manager (com.file.box.master.gkd) – 500.000+ Downloads  

Abo-Trojaner „Fleckpe“ verursacht wiederkehrende Kosten

Das Computer-Sicherheitsunternehmen Kaspersky hat eine neue Malware-Kampagne entdeckt, die auf Android-Nutzer abzielt. Dabei handelt es sich um einen Trojaner, der harmlos wirkende Apps infiziert und dann im Hintergrund unbemerkt kostenpflichtige Abonnements abschließt. Kaspersky hat die Kampagne „Fleckpe“ getauft und gibt an, dass mehr als 620.000 Smartphones weltweit damit infiziert seien.

Wie in vielen anderen bekannten Beispielen halten die betroffenen Apps meist das, was sie versprechen. Das macht diese Art der Attacken deshalb auch so gefährlich. Doch ein sogenannter „Dropper“ im Code führt einen „Payload“ aus, der in den App-Bestandteilen versteckt ist. Dieser wiederum kontaktiert die Server der kriminellen Akteure und sendet Geräteinformationen wie das Land und den Mobilfunkanbieter des Opfers. Der Server schickt dann eine Website mit einem kostenpflichtigen Abo-Dienst. Der Trojaner versucht, das Abo abzuschließen. Ist eine Bestätigung nötig, erfolgt diese per Benachrichtigung – in der Regel fragt die App die Berechtigung dazu beim ersten Start ab.

Diese Apps sollten Nutzer sofort löschen

Der Trojaner ist hauptsächlich in Apps zu Foto-Bearbeitung und Wallpaper-Packs zu finden. Mittlerweile hat Google die entsprechenden Apps aus dem Play Store gelöscht. Wer sie bereits installiert hat, muss die Löschung aber manuell durchführen. Hier ist die Liste der betroffenen Apps:

  • Impressionism Pro Camera (com.impressionism.prozs.app)
  • Photo Effect Editor (com.picture.pictureframe)
  • Beauty Slimming Photo Editor (com.beauty.slimming.pro)
  • Beauty Camera Plus (com.beauty.camera.plus.photoeditor)
  • Microclip Video Editor (com.microclip.vodeoeditor)
  • GIF Camera Editor Pro (com.apps.camera.photos)
  • Photo Camera Editor (com.toolbox.photoeditor)
  • HD 4K Wallpaper (com.hd.h4ks.wallpaper)
  • Fingertip Graffiti (com.draw.graffiti)
  • Night Mode Camera Pro (com.urox.opixe.nightcamreapro)

Neuartige Malware automatisiert den Diebstahl von Banking-Daten

Bislang zielen Malware-Kampagnen in der Regel darauf ab, durch gefälschte Webseiten oder Social Engineering Nutzer dazu zu bringen, ihre Banking-Daten preiszugeben. Eine neuartige Schadsoftware, die von dem Hacker-Verbund Hadoken Security Group entwickelt wird, geht jedoch einen Schritt weiter. Die Sicherheitsforscher von ThreatFabric haben die Kampagne im Februar 2022 entdeckt und der Malware den Namen „Xenomorph“ – die extrem gefährliche Kreatur aus den „Alien“-Filmen – gegeben.

Damals berichtete ThreatFabric lediglich von einer eingeschränkten Verteilung der Xenomorph-Malware, die auf einen Testlauf hindeuteten. Doch nun hat das Sicherheitsunternehmen eine neue Variante entdeckt: Xenomorph.C. Was diese Variante so gefährlich macht, ist ihr komplett automatisierter Prozess. Die Hacker machen sich dafür die Android-Bedienungshilfen und automatisierte Transfersysteme (ATS) zunutze. ATS erlauben es den Hackern, Transaktionen auf infizierten Geräten auszuführen. Die Malware kann damit automatisch Login-Daten und Kontostand herausfinden und sogar Überweisungen tätigen und mit Multi-Faktor-Authentifizierung (MFA) bestätigen. ATS können diese Prozesse auf den Smartphones ihrer Opfer auszuführen, ohne dass diese etwas davon mitbekommen.

Das macht Xenomorph.C zu einer der ausgeklügelsten Malwares, die aktuell im Umlauf sind. Das Programm automatisiert laut ThreatFabric „die komplette Betrugskette, von Infektion bis Geldabschöpfung“. Dafür waren bislang oft mehrere, einzelne Schritte notwendig, in denen die Hacker erst an Login-Daten und dann unentdeckt in die Banking-Apps selbst kommen mussten. Kommen Nutzer aber mit Xenomorph.C in Kontakt, kann die Malware ohne weiteres Zutun die Banking-App infiltrieren und das Konto anzapfen.

Das Sicherheitsunternehmen hat mehr als 400 Banken und Finanzinstitute weltweit sowie Krypto-Wallets ausgemacht, die von der Xenomorph-Kampagne anvisiert sind. Im Vergleich zur früheren Testphase sind das ein Anstieg um das Sechsfache. Die Hadoken Security Group bietet Xenomorph auf einer eigenen Website zudem zum Verkauf als „MaaS“ (Malware as a Service; dt. Malware als Dienst) an. Das ist in der Regel ein Indikator für die großflächige Verbreitung einer Malware-Kampagne.

Auch in Deutschland sind Nutzer im Visier der Hacker

Zwar sind andere Länder noch schwerwiegender betroffen, aber auch in Deutschland zielt Xenomorph auf insgesamt 18 Banken und Finanzinstitute ab. Darunter befinden sich Apps etwa von ING Diba, Norisbank, Comdirect, Commerzbank, Consorsbank, N26, Postbank, Deutsche Bank und Sparda-Bank.

ThreatFabric hat zudem herausgefunden, dass die Xenomorph-Malware an den weitverbreiteten Zombinder-Dropper gekoppelt ist. Dropper erscheinen als legitime Apps im Google Play Store, können aber nach der Installation ihre Malware „droppen“. Sie öffnen dazu eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Mit diesem „Update“ gelangt Xenomorph dann auf das Smartphone.

Es ist zumindest eine App bekannt, die die Malware einschleusen kann. Dabei handelt es sich um den Währungsrechner CoinCalc von Entwickler Sam Ruston. Die App steht zum jetzigen Zeitpunkt weiterhin im Play Store zur Verfügung. Nutzer, die sie bereits installiert haben, sollten sie umgehend löschen.

Gefälschte Rewards-Apps versprechen Belohnungen gegen Werbung

Das IT-Sicherheitsunternehmen „Dr. Web“ hat eine Reihe von Malware-verseuchten Apps ausgemacht, die es als „FakeMoney“-Kampagnen bezeichnet. Dabei handelt es sich um Apps, die Belohnungen versprechen. Eine davon, „Wonder Time“, gibt Tokens aus, wenn Nutzer andere Apps installieren, starten und benutzen. Diese Tokens können gegen Geld eingetauscht werden – allerdings erhält man nur wenige Tokens pro App und benötigt Millionen, um sie eintauschen zu können. Andere „FakeMoney“-Apps wie „Lucky Habit: health tracker”, „WalkingJoy” und „Lucky Step-Walking Tracker” versprechen Errungenschaften, etwa für gelaufene Distanzen oder eine gesunde Tagesroutine. Zusätzliche Belohnungen gibt es für das Anschauen von Werbung. Insgesamt wurden die Apps mehr als 20 Millionen mal geladen.

Am Ende geben diese App aber weder Geld noch anderweitige Belohnungen aus, sondern generieren lediglich Werbeeinnahmen für die Entwickler. In einem besonders perfiden Fall gab die App „Lucky Step-Walking Tracker“ sogar Belohnungen in Form von Online-Geschenkkarten aus. Doch mit einem Update entfernte der Entwickler diese Funktion, sodass alle angesammelten Belohnungen auf einmal wertlos waren.

Diese Apps sollten Nutzer löschen

Google hat die von Dr. Web gemeldeten Apps erst kürzlich aus dem Play Store entfernt. Betroffene Nutzer sollten diese Apps nun schnellstmöglich von ihrem Smartphone löschen:

  • Lucky Step-Walking Tracker – 10 Millionen+ Downloads
  • Lucky Habit: health tracker – 5 Millionen+ Downloads
  • WalkingJoy – 5 Millionen+ Downloads
  • Wonder Time – 500.000+ Downloads

Banking-Trojaner „Sharkbot“ zielt auf deutsche Banken ab

Erst kürzlich hat TECHBOOK über eine Malware-Kampagne mit dem „Sharkbot“-Banking-Trojaner berichtet. Unter anderem zielen Hacker mit dem Trojaner auch auf die Banking-Daten von Apps wie N26, PayPal, Targobank, Sparkasse, Postbank und Commerzbank in Deutschland ab.

Malware wird per App eingeschleust

Cyberkriminelle benutzen sogenannte „Dropper-Apps“, um die Malware auf Smartphones einzuschleusen. Diese Apps stehen im Google Play Store zur Verfügung und sind allem Anschein nach legitim. Erst wenn sie zu einem Update auffordern, beginnt die Installation von Malware. Dazu öffnet die App in der Regel eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Statt des Updates kommt aber der Banking-Trojaner auf das Smartphone.

Besonders perfide sind jedoch Dropper-Apps, die als Datei-Manager getarnt sind. Damit diese auf Dateien zugreifen können, muss man ihnen die Berechtigung geben. Diese missbrauchen die Apps dann jedoch, um unbemerkt Malware auf das Android-Smartphone zu laden. Eine Kampagne mit Datei-Managern, die den „Sharkbot“-Trojaner enthielten, haben Forscher der rumänischen Cybersicherheits-Firma Bitdefender gefunden.

Diese Android-Apps sollten Nutzer löschen

Hacker haben mit der Kampagne Nutzer in Deutschland, Italien, Iran und vor allem in UK im Visier. Google hat die Apps zwar mittlerweile aus dem Play Store gelöscht, in anderen App Stores sind sie aber noch zu finden. Vor allem, wer die Apps bereits installiert hat, sollte sie schleunigst vom Smartphone löschen. Hier ist die aktuelle Liste:

  • X-File Manager – 10.000 downloads
  • FileVoyager – 5000 downloads
  • Phone AID, Cleaner, Booster – 15.000 downloads
  • LiteCleaner M – 1000 downloads
  • File Manager Small, Lite

Mehr zum Thema

Wie Sie sich vor Malware in iOS und Android schützen können

Sowohl Google als auch Apple haben nach wie vor Probleme mit Malware hat, die trotz Sicherheitsvorkehrungen in die App Stores gelangen. Die Verantwortung liegt daher zu einem Großteil bei den Nutzern. Sie sollten darauf achten, im Bestfall nur Apps von verlässlichen Entwicklern zu installieren. Sind Sie sich unsicher, können die App-Bewertungen im App Store oft weiterhelfen. Gibt es hier viele negative Stimmen und Warnungen, sollten Sie die Finger von der App lassen.

Viele mit Malware infizierte Apps für iOS und Android verbrauchen durch ihre Hintergrundaktivitäten mobile Daten und verkürzen die Akkulaufzeit. Nutzer sollten daher regelmäßig Daten- und Akkuverbrauch prüfen, um auffälliges Verhalten früh erkennen und die entsprechenden Apps löschen zu können.

Themen #nordvpn Amazon Android App Store Datenschutz iOS Sicherheit
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale-Netzwerke zu teilen, brauchen wir deine Zustimmung für
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.