Login-Daten geklaut

Google entfernt 25 Apps aus dem Play Store, die Nutzer ausspionieren

Hacker tippt auf Smartphone
Immer wieder werden Smartphone-Nutzer von Sicherheitslücken bedroht
Foto: Getty Images

Eine französische Cyber-Sicherheitsfirma hat 25 Apps in Googles Play Store gefunden, die unerlaubt auf Facebook-Nutzerdaten zugegriffen haben.

Immer wieder entfernt Google Apps aus dem Play Store, die unerlaubt auf Nutzerdaten zugreifen, invasive Werbung zeigen, Malware verbreiten – oder sogar selbst Malware sind. Von der aktuellen Löschung sind 25 Apps betroffen, die durch letzteres auffällig geworden sind: Die Apps haben Facebook-Anmeldedaten abgegriffen.

Apps führen Malware auf dem Smartphone aus

In den meisten Fällen sind bösartige Apps nur ein Träger von Malware. Auch in dieser Instanz bieten die Apps, die jetzt von Google gelöscht wurden, tatsächlich eigene Funktionen an – etwa eine Taschenlampe, Wallpaper oder ein kleines Spiel.

Wie die französische Cyber-Sicherheitsfirma Evina Ende Mai entdeckt hat, ist in den 25 Apps jedoch Malware versteckt, die sich erst nach der Installation und dem Start der Apps aktiviert. Wird eine der Apps geöffnet, führt diese im Hintergrund bösartigen Code aus, der Zugriff auf Nutzerdaten erlangen soll. Öffnen Nutzer danach die Facebook-App – oder eine von Facebook entwickelte App – wird diese von der Malware infiltriert. Der Code hat die Fähigkeit, das Login-Fenster der Facebook-App zu imitieren und damit die Anmeldedaten der Nutzer abgreifen. Evina beschreibt das Vorgehen in dem Sicherheitsreport wie folgt:

„Wenn eine Anwendungen auf dem Smartphone gestartet wird, fragt die Malware den Namen der Anwendung ab. Ist es eine Facebook-Anwendung, lädt die Malware einen Browser, in dem gleichzeitig Facebook geladen wird. Der Browser wird im Vordergrund angezeigt, wodurch man denkt, dass die Anwendung ihn gestartet hat. Wenn man die Anmeldedaten in den Browser eingibt, führt die Malware Javascript aus, um sie abzugreifen. Die Malware schickt die Account-Informationen dann an einen Server.“

Die Facebook-Apps können den Malware-Eingriff nicht erkennen, da sie sich über die echte App legt und diese nicht direkt infiltriert. Für Laien ist dieses Overlay nur schwer von der tatsächlichen Facebook-App zu unterscheiden.

Facebook Malware-Overlay im Browser

So sieht es aus, wenn Malware sich über eine echte App schiebt. Gut zu erkennen: Der schwarze Balken, in dem wiederholt „Facebook“ steht – ein klares Anzeichen für Datenklau. | Foto: Evina

Google löscht und deaktiviert die Apps

Die Apps standen seit mehr als einem Jahr zum Download im Play Store bereit und haben bis zu ihrer Löschung über 2 Millionen Smartphones infiziert. Die Apps stammen nicht aus einer bestimmten Kategorie, sondern decken ein breites Spektrum an Funktionalität ab. Neben Datei-Manager, Wallpaper-Pack, Cleaner- und Taschenlampen-App sind auch Kartenspiele mit dabei. Zwar sind bösartige Apps oft schon über die Bewertungen im Play Store erkennbar – auch im aktuellen Fall schrieben viele Nutzer Warnungen in die Kommentare. Doch die durchschnittlichen Bewertungen waren hoch genug, um einen Ausprobieren der Apps zu rechtfertigen.

Hier ist die Liste mit den Apps:

Liste gelöschter Malware-Apps

Foto: Evina

Google hat die Apps nicht nur aus dem Play Store gelöscht, sondern auch auf Smartphones, auf denen sie installiert wurden, deaktiviert. Betroffene Nutzer wurde über den Play-Protect-Dienst darüber informiert. Sollten Sie dennoch eine der Apps noch auf Ihrem Smartphone haben, raten wir dazu, sie schleunigst zu entfernen.

TECHBOOK meint

„Dass selbst Googles weitreichende Schutzmaßnahmen nicht vor der Verbreitung von Malware schützen können, ist mittlerweile zur Genüge bewiesen. Android-Nutzer sollten ihre Sicherheit deshalb selbst in die Hand nehmen und vor jeder Installation genau auf Anzeichen achten. Vor allem schlechte Bewertungen, die vor Betrug oder Malware warnen, sollten sofort stutzig machen.“ – Adrian Mühlroth, Redakteur

Themen