Bild.de Hier geht es zurück zu Bild.de
StartseiteMobile LifestyleSmartphones & Apps

Vorsicht! Hochgefährliche Schadsoftware kann Geld aus Banking-Apps stehlen 

„FakeMoney“

Vorsicht! Hochgefährliche Schadsoftware kann Geld aus Banking-Apps stehlen 

Trotz vieler Sicherheitsvorkehrungen sind iOS und Android oft Ziel von Malware-Angriffen
Trotz vieler Sicherheitsvorkehrungen sind App Stores oft Ziel von Malware-AngriffenFoto: Getty Images

Immer wieder schaffen es Hacker, bösartige Software vorbei an Sicherheitsmaßnahmen in die App Stores von Apple und Google einzuschleusen.

Sicherheitsforscher verschiedenster Unternehmen sind ständig damit beschäftigt, Malware aufzuspüren, die sich in Apps für iOS und Android versteckt. TECHBOOK sammelt alle aktuellen Warnungen in diesem Artikel.

Neuartige Malware automatisiert den Diebstahl von Banking-Daten

Bislang zielen Malware-Kampagnen in der Regel darauf ab, durch gefälschte Webseiten oder Social Engineering Nutzer dazu zu bringen, ihre Banking-Daten preiszugeben. Eine neuartige Schadsoftware, die von dem Hacker-Verbund Hadoken Security Group entwickelt wird, geht jedoch einen Schritt weiter. Die Sicherheitsforscher von ThreatFabric haben die Kampagne im Februar 2022 entdeckt und der Malware den Namen „Xenomorph“ – die extrem gefährliche Kreatur aus den „Alien“-Filmen – gegeben.

Damals berichtete ThreatFabric lediglich von einer eingeschränkten Verteilung der Xenomorph-Malware, die auf einen Testlauf hindeuteten. Doch nun hat das Sicherheitsunternehmen eine neue Variante entdeckt: Xenomorph.C. Was diese Variante so gefährlich macht, ist ihr komplett automatisierter Prozess. Die Hacker machen sich dafür die Android-Bedienungshilfen und automatisierte Transfersysteme (ATS) zunutze. ATS erlauben es den Hackern, Transaktionen auf infizierten Geräten auszuführen. Die Malware kann damit automatisch Login-Daten und Kontostand herausfinden und sogar Überweisungen tätigen und mit Multi-Faktor-Authentifizierung (MFA) bestätigen. ATS können diese Prozesse auf den Smartphones ihrer Opfer auszuführen, ohne dass diese etwas davon mitbekommen.

Das macht Xenomorph.C zu einer der ausgeklügelsten Malwares, die aktuell im Umlauf sind. Das Programm automatisiert laut ThreatFabric „die komplette Betrugskette, von Infektion bis Geldabschöpfung“. Dafür waren bislang oft mehrere, einzelne Schritte notwendig, in denen die Hacker erst an Login-Daten und dann unentdeckt in die Banking-Apps selbst kommen mussten. Kommen Nutzer aber mit Xenomorph.C in Kontakt, kann die Malware ohne weiteres Zutun die Banking-App infiltrieren und das Konto anzapfen.

Das Sicherheitsunternehmen hat mehr als 400 Banken und Finanzinstitute weltweit sowie Krypto-Wallets ausgemacht, die von der Xenomorph-Kampagne anvisiert sind. Im Vergleich zur früheren Testphase sind das ein Anstieg um das Sechsfache. Die Hadoken Security Group bietet Xenomorph auf einer eigenen Webseite zudem zum Verkauf als „MaaS“ (Malware as a Service; dt. Malware als Dienst) an. Das ist in der Regel ein Indikator für die großflächige Verbreitung einer Malware-Kampagne.

Auch in Deutschland sind Nutzer im Visier der Hacker

Zwar sind andere Länder noch schwerwiegender betroffen, aber auch in Deutschland zielt Xenomorph auf insgesamt 18 Banken und Finanzinstitute ab. Darunter befinden sich Apps etwa von ING Diba, Norisbank, Comdirect, Commerzbank, Consorsbank, N26, Postbank, Deutsche Bank und Sparda-Bank.

ThreatFabric hat zudem herausgefunden, dass die Xenomorph-Malware an den weit verbreiteten Zombinder-Dropper gekoppelt ist. Dropper erscheinen als legitime Apps im Google Play Store, können aber nach der Installation ihre Malware „droppen“. Sie öffnen dazu eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Mit diesem „Update“ gelangt Xenomorph dann auf das Smartphone.

Es ist zumindest eine App bekannt, die die Malware einschleusen kann. Dabei handelt es sich um den Währungsumrechner CoinCalc von Entwickler Sam Ruston. Die App steht zum jetzigen Zeitpunkt weiterhin im Play Store zur Verfügung. Nutzer, die sie bereits installiert haben, sollten sie umgehend löschen.

Gefälschte Rewards-Apps versprechen Belohnungen gegen Werbung

Das IT-Sicherheitsunternehmen „Dr. Web“ hat eine Reihe von Malware-verseuchten Apps ausgemacht, die es als „FakeMoney“-Kampagnen bezeichnet. Dabei handelt es sich um Apps, die Belohnungen versprechen. Eine davon, „Wonder Time“, gibt Tokens aus, wenn Nutzer andere Apps installieren, starten und benutzen. Diese Tokens können gegen Geld eingetauscht werden – allerdings erhält man nur wenige Tokens pro App und benötigt Millionen, um sie eintauschen zu können. Andere „FakeMoney“-Apps wie „Lucky Habit: health tracker”, „WalkingJoy” und „Lucky Step-Walking Tracker” versprechen Errungenschaften, etwa für gelaufene Distanzen oder eine gesunde Tagesroutine. Zusätzliche Belohnungen gibt es für das Anschauen von Werbung. Insgesamt wurden die Apps mehr als 20 Millionen mal geladen.

Am Ende geben diese App aber weder Geld noch anderweitige Belohnungen aus, sondern generieren lediglich Werbeeinnahmen für die Entwickler. In einem besonders perfiden Fall gab die App „Lucky Step-Walking Tracker” sogar Belohnungen in Form von Online-Geschenkkarten aus. Doch mit einem Update entfernte der Entwickler diese Funktion, sodass alle angesammelten Belohnungen auf einmal wertlos waren.

Diese Apps sollten Nutzer sofort löschen

Google hat die von Dr. Web gemeldeten Apps erst kürzlich aus dem Play Store entfernt. Betroffenen Nutzer sollten diese Apps nun schnellstmöglich von ihrem Smartphone löschen:

  • Lucky Step-Walking Tracker – 10 Millionen+ Downloads
  • Lucky Habit: health tracker – 5 Millionen+ Downloads
  • WalkingJoy – 5 Millionen+ Downloads
  • Wonder Time – 500.000+ Downloads

Millionen Android-Nutzer von Spyware und Adware betroffen

Im Oktober 2023 hat Dr. Web zahlreiche Apps gefunden, die mit Spyware und Adware infiziert waren. Letztere überhäufen die Nutzer mit Werbung, um Einnahmen für die bösartigen Akteure zu generieren. Aber auch die noch gefährlichere Spyware ist in einer Reihe von installierten Apps versteckt gewesen. Diese kann nicht nur Nutzerdaten stehlen, sondern selbst App installieren und dadurch Phishing-Attacken starten.

WhatsApp-Klone mit Spyware infiziert

Den Daten aus dem Oktober zufolge ist der „Android.Spy.4498“-Trojaner die am weitesten verbreitete Malware auf Android-Smartphones. Android.Spy.4498 ist unter anderem in WhatsApp-Klonen wie GBWhatsApp, OBWhatsApp und WhatsApp Plus versteckt, die millionenfach heruntergeladen wurden.

Der Trojaner kann Benachrichtigungen auslesen und Nutzer auf gefälschte Update-Seiten locken, um weitere Malware-Apps zu installieren.

Adware im Play Store weiterhin ein Problem

Vor allem Adware ist im Google Play Store auf dem Vormarsch. Im Vergleich zu anderen Malware-Arten ist Adware weniger gefährlich, da Hacker damit in der Regel nicht auf Nutzerdaten aus sind. Stattdessen zeigen mit Adware infizierte Apps exzessiv Werbung an, die für die Hacker Werbeeinnahmen generiert. In einem Fall, den Dr. Web aufgedeckt hat, verspricht eine App den Nutzern sogar Geld, wenn sie sich Werbung anschauen. In der App „TubeBox“ sollten sie Werbung anschauen und dafür In-App-Währung sammeln. Beim Versuch, sich dieses Geld auszahlen zu lassen, bekamen die Nutzer aber nur Fehlermeldungen. Statt selbst Geld einzunehmen haben sie somit nur Einnahmen für die Cyberkriminellen generiert.

Diese Apps sollten Nutzer sofort löschen

Google hat die von Dr. Web gemeldeten Apps erst kürzlich aus dem Play Store entfernt. Betroffenen Nutzer sollten diese Apps nun schnellstmöglich von ihrem Smartphone löschen:

  • TubeBox – 1 Million+ Downloads
  • Bluetooth device auto connect – 1 Million+ Downloads
  • Bluetooth & Wi-Fi & USB driver – 100.000+ Downloads
  • Volume, Music Equalizer – 50.000+ Downloads
  • Fast Cleaner & Cooling Master – 500+ Downloads

Banking-Trojaner „Sharkbot“ zielt auf deutsche Banken ab

Erst kürzlich hat TECHBOOK über eine Malware-Kampagne mit dem „Sharkbot“-Banking-Trojaner berichtet. Unter anderem zielen Hacker mit dem Trojaner auch auf die Banking-Daten von Apps wie N26, PayPal, Targobank, Sparkasse, Postbank und Commerzbank in Deutschland ab.

Malware wird per App eingeschleust

Cyberkriminelle benutzen sogenannte „Dropper-Apps“, um die Malware auf Smartphones einzuschleusen. Diese Apps stehen im Google Play Store zur Verfügung und sind allem Anschein nach legitim. Erst wenn sie zu einem Update auffordern, beginnt die Installation von Malware. Dazu öffnet die App in der Regel eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Statt des Updates kommt aber der Banking-Trojaner auf das Smartphone.

Besonders perfide sind jedoch Dropper-Apps, die als Datei-Manager getarnt sind. Damit diese auf Dateien zugreifen können, muss man ihnen die Berechtigung geben. Diese missbrauchen die Apps dann jedoch, um unbemerkt Malware auf das Android-Smartphone zu laden. Eine Kampagne mit Datei-Managern, die den „Sharkbot“-Trojaner enthielten, haben Forscher der rumänischen Cybersicherheits-Firma Bitdefender gefunden.

Diese Android-Apps sollten Nutzer sofort löschen

Hacker haben mit der Kampagne Nutzer in Deutschland, Italien, Iran und vor allem in UK im Visier. Google hat die Apps zwar mittlerweile aus dem Play Store gelöscht, in anderen App Stores sind sie aber noch zu finden. Vor allem, wer die Apps bereits installiert hat, sollte sie schleunigst vom Smartphone löschen. Hier ist die aktuelle Liste:

  • X-File Manager – 10.000 downloads
  • FileVoyager – 5000 downloads
  • Phone AID, Cleaner, Booster – 15.000 downloads
  • LiteCleaner M – 1000 downloads
  • File Manager Small, Lite

„Clicker“-Viren im Google Play Store

Computersicherheitsfirma McAfee hat 16 Android-Apps identifiziert, die sogenannte „Clicker“-Malware enthalten. Dabei handelt es sich um eine Art Schadsoftware, die im Hintergrund automatisch Webseiten mit Werbung besucht. Die Apps selbst tarnen sich als nützliche Werkzeuge wie Barcode-Scanner, Taschenlampe und Währungsrechner. Insgesamt wurden die Apps 20 Millionen mal aus dem Play Store heruntergeladen.

Wie funktioniert „Clicker“-Malware?

Nach der Installation sendet eine mit dieser Schadsoftware infizierte App ein Signal an einen Remote-Server. Von dort bekommt sie den Befehl, im Hintergrund massenhaft Webseiten mit Werbung zu öffnen. Durch das Anklicken von Werbung auf diesen Seiten werden Einnahmen für die Hacker generiert. Die Nutzer bekommen davon kaum etwas mit. Der Prozess macht sich höchstens dadurch bemerkbar, dass die Apps hohen Internet-Traffic generieren und dadurch viel Strom verbrauchen.

Diese Android-Apps sollten Nutzer sofort löschen

McAfee hat die infizierten Apps bereits an Google gemeldet und sie wurden aus dem Play Store entfernt. Wie gewohnt liegt es nun jedoch an den Nutzern, die Apps selbst von ihren Smartphones zu löschen. Hier ist die vollständige Liste:

App-NamePackage-NameDownloads
High-Speed Camera com.hantor.CozyCamera10.000.000+
Smart Task Manager com.james.SmartTaskManager5.000.000+
Flashlight+ kr.caramel.flash_plus1.000.000+
K-Dictionary com.joysoft.wordBook1.000.000+
BusanBuscom.kmshack.BusanBus1.000.000+
달력메모장com.smh.memocalendar1.000.000+
Currency Converter com.smartwho.SmartCurrencyConverter500.000+
Quick Note com.movinapp.quicknote500.000+
Flashlight+com.candlencom.candleprotest500.000+
EzDicacom.joysoft.ezdica100.000+
EzNotescom.meek.tingboard100.000+
Instagram Profile Downloader com.schedulezero.instapp100.000+
Joycode com.joysoft.barcode100.000+
손전등com.candlencom.flashlite1000+
Flashlight+com.dev.imagevault100+
계산기com.doubleline.calcul100+

Adware-Viren in iOS und Android

Die Sicherheitsforscher von „Human“ haben Dutzende Apps in Apples App Store und Googles Play Store gefunden, die mit sogenannter Adware verseucht sind. Immer wieder schleusen Hacker ihre bösartigen Apps an den Sicherheitsvorkehrungen der App Stores vorbei. So kommt es, dass Viren-behaftete Apps für iOS und Android oft erst gefunden werden, wenn sie bereits auf vielen Smartphones installiert sind.

Bei der Adware-Kampagne handelt es sich um Werbebetrug. Das ist ein bekanntes Problem: Laut dem Human-Sicherheitsreport ist es die nunmehr dritte Welle, nach ähnlichen Kampagnen in den Jahren 2019 und 2020. Das „Satori Threat Intelligence & Research“-Team hatte die Operation 2019 aufgedeckt ihr den Namen „Poseidon“ gegeben. Ausläufer der Operation sind „Charybdis“ (2020) und aktuell „Scylla“.

Aktuelle Artikel

Diese iOS- und Android-Apps sind mit Malware „Scylla“ infiziert

Human hat in Zuge seiner Nachforschungen Apple und Google von den Ergebnissen berichtet. Beide Unternehmen haben mittlerweile die betroffenen Apps aus ihren Stores gelöscht. Sind die Apps bereits auf iPhone oder Android-Smartphone installiert, werden sie jedoch nicht automatisch entfernt. Die Nutzer müssen also selbst Hand anlegen und sie von ihren Smartphones löschen.

Insgesamt sind 9 iOS-Apps und 75 Android-Apps von der Adware-Kampagne betroffen. Zusammen wurden die Apps mehr als 13 Millionen mal heruntergeladen. Eine gekürzte Übersicht der Viren-behafteten iOS- und Android-Apps finden Sie hier:

iOS
Loot the Castle
Run Bridge
Shinning Gun
Racing Legend 3D
Rope Runner
Wood Sculptor
Fire-Wall
Ninja Critical Hit
Android 
Super Hero-Save the world!1.000.000 Downloads
Spot 10 Differences1.000.000 Downloads
Find 5 Differences - New1.000.000 Downloads
Dinosaur Legend1.000.000 Downloads
One Line Drawing1.000.000 Downloads
Shoot Master1.000.000 Downloads
Talent Trap - NEW1.000.000 Downloads
Arrow Coins500.000 Downloads
Parking Master500.000 Downloads

Die komplette Liste gibt es auf der Seite des Human-Sicherheitsreports.

Wie Sie sich vor Malware in iOS und Android schützen können

Sowohl Google als auch Apple haben nach wie vor Probleme mit Malware hat, die trotz Sicherheitsvorkehrungen in die App Stores gelangen. Die Verantwortung liegt daher zu einem Großteil bei den Nutzern. Sie sollten darauf achten, im Bestfall nur Apps von verlässlichen Entwicklern zu installieren. Sind Sie sich unsicher, können die App-Bewertungen im App Store oft weiterhelfen. Gibt es hier viele negative Stimmen und Warnungen, sollten Sie die Finger von der App lassen.

Viele mit Malware infizierte Apps für iOS und Android verbrauchen durch ihre Hintergrundaktivitäten mobile Daten und verkürzen die Akkulaufzeit. Nutzer sollten daher regelmäßig Daten- und Akkuverbrauch prüfen, um auffälliges Verhalten früh erkennen und die entsprechenden Apps löschen zu können.

Quellen

Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale-Netzwerke zu teilen, brauchen wir deine Zustimmung für