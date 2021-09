Unter anderem in Google Play sollen sich mehr als 200 mit Schadcode verseuchte legitim aussehende Apps eingeschlichen haben, die von Opfern unbemerkt kostenpflichtige Abos abschließen. Die Kampagne soll weltweit mehr als 10 Millionen Android-Nutzer betreffen.

Die Masse macht's

Davor warnen Sicherheitsforscher von Zimperium in einem Beitrag. Auf den ersten Blick sollen die Apps in Google Play und anderen App Stores für Android nicht verdächtig aussehen. Doch nach der Installation soll Schadcode aktiv werden, der im Hintergrund Abos für 30 Euro pro Monat abschließt. Dafür müssen Opfer aber mitspielen.

Da viele der Apps laut den Angaben von App Stores auf hunderttausenden und mehr Geräten installiert sind, summiert sich die von den Angreifern eingestrichene Summe auf wahrscheinlich mehrere hundert Millionen Euro, führen die Sicherheitsforscher aus.

Ihnen zufolge soll Google die Trojaner-Apps mittlerweile aus dem Store entfernt haben. Eine Liste mit den betroffenen Apps kann man im Beitrag der Sicherheitsforscher einsehen. Eine Stichprobe von heise Security hat ergeben, dass einige Apps noch in Stores von Drittanbietern auftauchen. An dieser Stellte gilt allgemein, dass Android-Nutzer nicht einfach Apps aus x-beliebigen Quellen installieren sollten.

Schadenswerk

Die GriftHorse getaufte Kampagne soll in 70 Ländern aktiv sein. Nachdem der Trojaner aktiv ist, soll er Opfer mit Fake-Nachrichten zu Gewinnen bombardieren. Wer genervt davon auf den Link in der Nachricht klickt. Landet den Forschern zufolge auf einer Fake-Website, auf der Opfer ihre Handy-Nummer eingeben sollen. Dank Analyse der IP-Adresse sollen die Websites jeweils in der Sprache des Opfers sein.

Klappt für die Angreifer alles, schließt das Opfer ein kostenpflichtiges Premium-SMS-Abo ab. Davon soll das Opfer aber nicht direkt etwas mitbekommen. Das fällt dann erst mit der monatlichen Handy-Rechnung auf. Um nicht entdeckt zu werden, sollen die Drahtzieher der Kampagne ihr Tun effektiv verschleiern und etwa keine Domains wiederverwenden. Außerdem sollen derzeit kaum Anti-Viren-Scanner auf den Schädling anspringen.

(des)