Erneut zahlreiche Malware-verseuchte Apps in Google Play entdeckt

MobileMobile Apps
Apps auf Smartphone (Bild: Shutterstock / Oleksiy Mark)

Diesmal wurden sie vom Sicherheitsanbieter Dr. Web gefunden und verbreiten den Trojaner “Android.Spy.277.origin”. Mit der Malware lassen sich Nutzer ausspionieren sowie E-Mail-Adressen und Mobilfunknummern einsammeln. Insgesamt wurde sie bereits 3,2 Millionen Mal heruntergeladen.

Der Sicherheitsanbieter Dr. Web hat bei Google Play mit dem Trojaner Android.Spy.277.origin entdeckt Apps entdeckt. Insgesamt steckt Android.Spy.277.origin in 104 Anwendungen, die sich vielfach wie gewohnt als verbreitete und bekannte Android-Apps tarnen. Insgesamt wurden die Malware-verseuchten Apps laut Dr. Web von über 3,2 Millionen Nutzern heruntergeladen. Google habe zudem erst einige der Apps aus dem Online-Marktplatz entfernt.

Apps mit Android.Spy.277.origin täuschen Nutzer teilweise mit vermeintlichen Systemmeldungen (Screenshot: Dr. Web).
Apps mit Android.Spy.277.origin täuschen Nutzer teilweise mit vermeintlichen Systemmeldungen (Screenshot: Dr. Web).

Apps mit der Schadsoftware Android.Spy.277.origin verfügen über mehrere Spionagefunktionen. Sie sammeln umfangreiche und zum Teil auch persönliche Daten und übertragen sie bei jedem Start der infizierten Anwendung an einen Command&Control-Server der Hintermänner. Die erhalten so Zugriff auf die mit dem Google-Konto verknüpfte E-Mail-Adresse und die Seriennummer des Smartphones (IMEI). Aber auch Standort, die Handynummer und den genutzten Mobilfunkanbieter erfahren sie. Zudem werden technische Daten des Geräts wie die Version des Betriebssystems, Modellbezeichnung, Bildschirmauflösung, CPU-Typ und MAC-Adresse ausgespäht.

Android.Spy.277.origin ist darüber hinaus in der Lage, unerwünschte Werbung anzuzeigen. Einige dieser Anzeigen sind als Systemwarnmeldungen getarnt. Sie gaukeln beispielsweise zuerst einen Akkudefekt vor und schlagen anschließend eine App vor, die das Problem lösen soll. Die Anzeigen erscheinen aber auch in den Benachrichtigungen oder als Programmsymbole auf dem Startbildschirm.

Teilweise verleietn die Apps mit Android.Spy.277.origin Nutzer teilweise mit als Benachrichtigungen angezeigter Werbung dazu, bestimmte Websites aufzurufen (Screenshot: Dr. Web).
Teilweise verleiten die Apps mit Android.Spy.277.origin Nutzer teilweise mit als Benachrichtigungen angezeigter Werbung dazu, bestimmte Websites aufzurufen (Screenshot: Dr. Web).

Der Trojaner schützt sich mit einem versteckten Plug-in, das dieselben Funktionen besitzt wie er selbst. Es tarnt sich als wichtiges Update für die schädliche App. Wird es installiert, befinden sich zwei Kopien von Android.Spy.277.origin auf dem Gerät. Wird das “Original” irgendwann als schädlich erkannt und entfernt, kann die Kopie weiterhin Daten übertragen und unerwünschte Werbung einblenden.

Immer wieder gelingt es Kriminellen mit Malware-Apps Googles Kontrollen für den Play Store zu umgehen. 2015 sorgten etwa mehrfach Fake-Apps mit dem Trojaner PornClicker für Ärger. Außerdem schaffen es immer wieder nicht besonders gefährliche aber dafür nervige Adware-Apps in den Google-Marktplatz: Die verbergen teilweise ihr App Icon, um nicht so einfach entfernt werdne zu können oder tarnen sich als Chats für verbreitete Spiele oder bringen Nutzer durch Verunsicherung oder Täuschung dazu, einen kostenpflichtigen Dienst zu abonnieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen