Eine Million Downloads: Bösartige Android-Apps leiten auf Phishing-Seiten
Ein App-Entwickler fällt wiederholt auf, verseuchte Apps in Google Play anzubieten. Die derzeitig problematischen Apps kommen auf über eine Million Downloads.
(Bild: Skorzewiak/Shutterstock.com)
Die IT-Sicherheitsforscher von Malwarebytes berichten von vier infizierten Apps im Google Play Store, die mit einem Trojaner verseucht sind und Handynutzer auf bösartige Phishing-Seiten leiten. Die Apps kommen auf über eine Million Downloads. Sie sind noch im Play Store verfügbar, sodass Nutzer sie selbst deinstallieren müssen. Die App-Entwickler fielen schon früher mit verseuchten Apps auf.
Agressive Werbeeinblendungen
Wie es häufig bei infizierten Apps zu beobachten ist, handelt es sich auch bei den jetzt entdeckten Varianten um Malware, die unerwünscht und aggressiv Werbung anzeigt. Malwarebytes nennt die Schadsoftware daher auch Android/Trojan.HiddenAds und vergibt ihr eine eindeutige Kennnummer (BTGTHB).
Die Apps fangen zur Verschleierung und zur Umgehung automatisierter Erkennungen erst einige Tage nach der Installation an, ihr bösartiges Verhalten zu entfalten. Sie öffnen dann Phishingseiten im Chrome-Webbrowser. Deren Inhalte wechseln sich ab. Mal handelt es sich um aggressive Werbung, die per Klick bezahlt werde, mal um irreführende Seiten, die etwa Erwachseneninhalte versprechen. Diese leiteten auf Landingpages um, die eine Infektion des Smartphones vorgaukelten, um eine vermeintliche Sicherheitssoftware zu installieren, Oder auf wichtige, zu installierende Updates hinwiesen.
Die Seiten werden im Hintergrund geöffnet, und zwar auch dann, wenn das Smartphone gesperrt ist. Beim Entsperren müssen betroffene Nutzer daher erst mal viele Browser-Tabs schließen. Der Browserverlauf laufe ebenfalls mit diesen zahlreichen Phishingseiten voll.
Erkennungsmerkmale
Die vier fraglichen Apps stammen vom Entwickler Mobile apps Group und sind derzeit noch im Google Play Store gelistet. In ihrer Analyse listen die IT-Forscher von Malwarebytes auch auf, wie viele App-Versionen in den vergangenen zwei Jahren im Play Store mit Varianten von Android/Trojan.HiddenAds verseucht waren. Sie betonen, dass das lediglich ein Ausschnitt sei und andere Apps der Mobile apps Group ähnliche Verläufe aufwiesen. Unklar ist, warum die Gruppe immer wieder neue Apps in Google Play veröffentlichen kann oder darf.
Nachfolgend die Liste der betroffenen Apps mit den zugehörigen Erkennungsmerkmalen (Indicators of Compromise oder kurz IoCs):
| App-Name | Paketname | MD5 | Downloads |
| Bluetooth Auto Connect | com.bluetooth.autoconnect.anybtdevices | C28A12CE5366960B34595DCE8BFB4D15 | 1 Mio.+ |
| Bluetooth App Sender | com.bluetooth.share.app | F764F5A04859EC544685E30DE4BD3240 | 50.000+ |
| Driver: Bluetooth, Wi-Fi, USB | com.driver.finder.bluetooth.wifi.usb | 9BC55834B713B506E92B3787BE83F079 | 10.000+ |
| Mobile transfer: smart switch | com.mobile.faster.transfer.smart.switch | AEA33292113A22F46579F5E953596491 | 1000+ |
Die üblichen Hinweise liefern für die betroffenen Apps bereits Anzeichen, dass sie nicht ganz sauber sind: So hat "Bluetooth Auto Connect" zwar 2860 Rezensionen, jedoch viele 1-Sterne-Bewertungen, die bereits auf ein Spam- und Werbeproblem hindeuten. Die positiven Bewertungen sind faktisch sinnfrei, und auf die haben die App-Entwickler auch geantwortet; es scheint sich um bestellte positive Bewertungen zu handeln.
Da Google die Apps noch nicht aus dem Play Store entfernt hat, sollten Android-Nutzer prüfen, ob sie die betroffenen Apps installiert haben und sie zügig selbst deinstallieren. Im offiziellen App-Store von Google – aber auch bei Apple – finden sich immer wieder bösartige Apps. Zuletzt fand McAfee etwa Klickbetrugs-Apps mit mehr als 20 Millionen Installationen.
(dmk)
