1,5 Millionen Installationen: Android-Malware im Google-Play-Store entdeckt

IT-Sicherheitsforscher haben zwei bösartige Apps im Google Play Store aufgespürt, die sich als Dateimanager tarnen, jedoch große Mengen an Daten an chinesische Server schicken. Dazu müssen Nutzerinnen und Nutzer die Spyware nicht einmal selbst ausführen.

In Ihrer Analyse schreiben die Mitarbeiter von Pradeo, dass die Spyware-Apps vom gleichen Entwickler stammen und sehr ähnliches schädliches Verhalten zeigen würden. Sie seien programmiert, ohne Nutzerinteraktion zu starten und still und heimliche sensible Nutzerdaten an Server in China auszuleiten. Die IT-Forscher hätten Google über die Malware informiert.

Android-Malware mit 1,5 Millionen Downloads

Die betroffenen Apps heißen File Recovery and Data Recovery (com.spot.music.filedate) mit mehr als einer Million Downloads sowie File Manager (com.file.box.master.gkd) mit mehr als 500.000 Installationen. Die Apps behaupteten in der jeweiligen Beschreibung, dass sie keine Daten sammeln würden; sofern doch Daten gesammelt würden, könnten Nutzerinnen und Nutzer jedoch deren Löschung nicht verlangen. Ein klarer Verstoß gegen etwaige DSGVO-artigen Datenschutzgesetze betonen die Pradeo-Forscher.

Die App sammelt und verschickt umfangreiche Daten: Die Kontaktlisten der Nutzer vom Gerät selbst und von verknüpften Konten wie E-Mails, sozialen Netzen und so weiter, Mediendateien wie Bilder, Ton und Videos, der Nutzerstandort in Echtzeit, der Ländercode, Name des Netzwerk-Providers, Netzwerk-Code des SIM-Anbieters, Betriebssystemversion sowie Geräte-Marke und Modell. Jede der beiden Apps nehme mehr als hundert Übertragungen der gesammelten Daten vor.

Um eine größere Verbreitung zu erlangen, haben die Hinterleute mehrere Ansätze verfolgt. Einerseits sehen die Apps legitim aus. Im Play Store haben sie eine sehr hohe Anzahl an Installationen aufzuweisen, was vertrauenswürdig wirkt. Allerdings fehlen Nutzerwertungen und Rezensionen. Die IT-Forscher vermuten, dass die Cyberkriminellen eine "Installations-Farm" oder Mobilgerät-Emulatoren zur Erhöhung dieser Zahlen genutzt haben, sodass sie ein besseres Ranking erhalten.

Da Nutzer häufiger Apps installieren, ohne sie überhaupt zu starten, wodurch der Angriff erfolglos bliebe, verlangen die Apps nach Berechtigungen, die ihnen den Geräteneustart erlauben. Die Apps können sich nach solch einem Neustart selbst starten. Zudem erschweren sie die Deinstallation, da die Apps ihr Programm-Icon im Launcher verstecken.

Pradeo empfiehlt, keine Apps herunterzuladen, die zwar Tausende Nutzer, jedoch keine Rezensionen haben. Falls es Reviews gebe, sollten Interessierte diese lesen – üblicherweise finden sich bei bösartigen Apps entsprechende Hinweise. Zudem sollten sie bei der Rechtevergabe vorsichtig sein und diese gründlich lesen, bevor sie sie erteilen.

Vor rund einem Monat hatte Bitdefender gewarnt und den Mechanismus erklärt, mit dem Cyberkriminelle ihre Apps auf Smartphones von Opfern verstecken können.

(dmk)