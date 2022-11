Die IT-Sicherheitsforscher von Malwarebytes berichten von vier infizierten Apps im Google Play Store, die mit einem Trojaner verseucht sind und Handynutzer auf bösartige Phishing-Seiten leiten. Die Apps kommen auf über eine Million Downloads. Sie sind noch im Play Store verfügbar, sodass Nutzer sie selbst deinstallieren müssen. Die App-Entwickler fielen schon früher mit verseuchten Apps auf.

Agressive Werbeeinblendungen

Wie es häufig bei infizierten Apps zu beobachten ist, handelt es sich auch bei den jetzt entdeckten Varianten um Malware, die unerwünscht und aggressiv Werbung anzeigt. Malwarebytes nennt die Schadsoftware daher auch Android/Trojan.HiddenAds und vergibt ihr eine eindeutige Kennnummer (BTGTHB).

Die Apps fangen zur Verschleierung und zur Umgehung automatisierter Erkennungen erst einige Tage nach der Installation an, ihr bösartiges Verhalten zu entfalten. Sie öffnen dann Phishingseiten im Chrome-Webbrowser. Deren Inhalte wechseln sich ab. Mal handelt es sich um aggressive Werbung, die per Klick bezahlt werde, mal um irreführende Seiten, die etwa Erwachseneninhalte versprechen. Diese leiteten auf Landingpages um, die eine Infektion des Smartphones vorgaukelten, um eine vermeintliche Sicherheitssoftware zu installieren, Oder auf wichtige, zu installierende Updates hinwiesen.

Die Seiten werden im Hintergrund geöffnet, und zwar auch dann, wenn das Smartphone gesperrt ist. Beim Entsperren müssen betroffene Nutzer daher erst mal viele Browser-Tabs schließen. Der Browserverlauf laufe ebenfalls mit diesen zahlreichen Phishingseiten voll.

Erkennungsmerkmale

Die vier fraglichen Apps stammen vom Entwickler Mobile apps Group und sind derzeit noch im Google Play Store gelistet. In ihrer Analyse listen die IT-Forscher von Malwarebytes auch auf, wie viele App-Versionen in den vergangenen zwei Jahren im Play Store mit Varianten von Android/Trojan.HiddenAds verseucht waren. Sie betonen, dass das lediglich ein Ausschnitt sei und andere Apps der Mobile apps Group ähnliche Verläufe aufwiesen. Unklar ist, warum die Gruppe immer wieder neue Apps in Google Play veröffentlichen kann oder darf.

Nachfolgend die Liste der betroffenen Apps mit den zugehörigen Erkennungsmerkmalen (Indicators of Compromise oder kurz IoCs):

App-Name Paketname MD5 Downloads Bluetooth Auto Connect com.bluetooth.autoconnect.anybtdevices C28A12CE5366960B34595DCE8BFB4D15 1 Mio.+ Bluetooth App Sender com.bluetooth.share.app F764F5A04859EC544685E30DE4BD3240 50.000+ Driver: Bluetooth, Wi-Fi, USB com.driver.finder.bluetooth.wifi.usb 9BC55834B713B506E92B3787BE83F079 10.000+ Mobile transfer: smart switch com.mobile.faster.transfer.smart.switch AEA33292113A22F46579F5E953596491 1000+

Die üblichen Hinweise liefern für die betroffenen Apps bereits Anzeichen, dass sie nicht ganz sauber sind: So hat "Bluetooth Auto Connect" zwar 2860 Rezensionen, jedoch viele 1-Sterne-Bewertungen, die bereits auf ein Spam- und Werbeproblem hindeuten. Die positiven Bewertungen sind faktisch sinnfrei, und auf die haben die App-Entwickler auch geantwortet; es scheint sich um bestellte positive Bewertungen zu handeln.

Da Google die Apps noch nicht aus dem Play Store entfernt hat, sollten Android-Nutzer prüfen, ob sie die betroffenen Apps installiert haben und sie zügig selbst deinstallieren. Im offiziellen App-Store von Google – aber auch bei Apple – finden sich immer wieder bösartige Apps. Zuletzt fand McAfee etwa Klickbetrugs-Apps mit mehr als 20 Millionen Installationen.

(dmk)