Android-Malware: 90 Apps mit 5,5 Millionen Installationen entdeckt

IT-Forscher haben eine starke Verbreitung der Anatsa-Malware entdeckt. Sie steckt in mehr als 90 Apps auf Google Play mit 5,5 Millionen Downloads.

In Pocket speichern vorlesen Druckansicht 67 Kommentare lesen
Stilisierte Grafik: zersplittertes Google Play Store Logo, aus dem Viren kommen

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Die IT-Sicherheitsexperten der ZScaler ThreatLabz haben in den vergangenen Monaten mehr als 90 bösartige Apps im Google Play Store entdeckt und analysiert. Insgesamt kamen die Malware-infizierten Apps auf mehr als 5,5 Millionen Installationen.

In Ihrer Analyse schreiben die IT-Analysten, dass sie einen Anstieg an Instanzen der Anatsa-Malware, die auch unter dem Namen TeaBot bekannt ist, entdeckt haben. Die fortschrittliche Malware nutzt echte Apps als Dropper-Komponente, die für Nutzer harmlos aussehen. Dadurch schieben die kriminellen Drahtzieher Opfern unbemerkt die bösartige Nutzlast unter. Anatsa ist im Kern ein Banking-Trojaner, der sensible Banking-Zugangsdaten sowie Finanzinformationen aus globalen Finanz-Apps sammelt und ausschleust.

Die Malware nutze dabei Overlay- und Barrierefreiheit-Techniken, um diese Daten unbemerkt abzufangen und zu sammeln. Insbesondere PDF- und QR-Code-Reader-Apps seien von den kriminellen Drahtziehern um die Malware erweitert worden, erläutert ZScaler in der Analyse.

Aber die Malware werde auch als Werkzeug wie Dateimanager, Editoren oder Übersetzer getarnt. Um der Entdeckung und Analyse zu entgehen, setzen die Malware-Programmierer unterschiedliche Techniken ein. So prüft der Code, ob er in virtuellen Umgebungen oder Emulatoren läuft. Zudem sind die ZIP-Header der .apk-Installationsdateien modifiziert, sodass eine statische Analyse der Malware nicht klappe.

Am Ende der Analyse ergänzen die ZScaler-Forensiker noch Indicators of Compromise (IOCs). Allerdings nur von vier der mehr als 90 Apps. Die Paketnamen lauten etwa com.appandutilitytools.fileqrutility, N/A(hanihani), com.nfctnofxy.tmzcwkcjd oder com.ultimatefilesviewer.filemanagerwithpdfsupport. Die Dateien hat Google offenbar aus dem Play Store entfernt – die aufgeführten Apps lassen sich dort nicht mehr finden.

Ende Februar hatten bereits IT-Forensiker von Threatfabric vor Malware-Kampagnen mit dem Bankiong-Trojaner Anatsa gewarnt. Damals kam es innerhalb von vier Monaten zu mehr als 100.000 Installationen – quasi nur ein leichter Vorgeschmack auf das, was jetzt los ist. Dort zählten die IT-Forscher fünf Apps, im ersten Halbjahr 2023 kamen sechs Dropper-Apps auf 130.000 infizierte Geräte.

Google arbeitet daran, seine Erkennungen zu verbessern. Vor etwa einem Monat hat das Unternehmen berichtet, dass es 2023 rund 2,3 Millionen bösartige Apps aus dem Play Store geworfen hat. Dabei hilft auch KI in Form von Machine Learning.

(dmk)