Google Play Store: Trojaner Harly kommt auf 4,8 Millionen Downloads

Im Google Play Store entdeckt Kaspersky zahlreiche trojanisierte Apps, die den Schädling Harly enthalten. Der schließt kostenpflichtige Dienste-Abos ab.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 29 Beiträge
Aufmacher Harly-Torjaner im Google Play Store

(Bild: rafapress/Shutterstock.com)

Von
  • Dirk Knop

Der Trojaner Harly zockt seinen Opfern Geld ab, indem er im Hintergrund kostenpflichtige Dienste abonniert. Kaspersky hat ihn in mehr als 190 Apps im Google Play Store entdeckt, die zusammen auf über 4,8 Millionen Downloads kommen.

Die Drahtzieher hinter der Malware haben dafür reguläre Apps heruntergeladen, um eigenen Schadcode ergänzt und unter anderem Namen in den Google Play Store wieder hochgeladen, erläutert Kaspersky in einer Analyse. Durch das Imitieren legitimer Apps versuchen sie, arglose Opfer zu finden. Zudem stellen die Apps zur Tarnung dadurch auch die beworbenen Funktionen bereit.

In einem untersuchten Sample haben Kasperskys Antivirenexperten eine sonst unter anderem Namen verfügbare Anwendung gefunden, die die Angreifer um Go- und Rust-Code ergänzt haben. Dieser Code entschlüsselt und startet den eigentlichen SDK-Schadcode. Anders als bei fortschrittlicheren Trojanern enthält die App bereits den vollständigen Malware-Programmcode und lädt ihn nicht in mehreren Stufen erst herunter und entschlüsselt ihn dann.

Die konkrete Schadfunktion des näher betrachteten Trojaners entfaltet sich insbesondere bei Nutzern in Thailand. Ist das Smartphone bei einem dortigen Netzbetreiber eingebucht, kontaktiert sie Command-and-Control-Server, um eine Liste zu abonnierender kostenpflichtiger Dienste zu empfangen. Die Malware kann dazu unbemerkt im Hintergrund Bestätigungs-SMS abfangen und auf entsprechende Knöpfe auf den Subscribe-Webseiten durch injiziertes JavaScript klicken sowie Formularfelder befüllen. Als Besonderheit kann der Schädling zudem nicht nur Bestätigungs-SMS verarbeiten, sondern auch Anrufe zu Telefonnummern zur Bestätigung aufbauen.

Kaspersky hat einige Hinweise gefunden, dass die Drahtzieher hinter der Malware aus China stammen. So prüft der Trojaner den aktuell genutzten Telefonieanbieter mittels Mobile Network Codes. Neben dem Test auf thailändische Anbieter prüft er auch auf China Telecom.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Als Schutzmaßnahme empfehlen die Antivirenexperten, auch auf die Bewertungen von Apps vor deren Installation zu achten. Zwar könnten die mit Fälschungen geflutet sein, aber es fanden sich in den konkreten Beispielen zum Harly-Trojaner stets Hinweise, dass dort eine Malware am Werk ist. Das Unternehmen hat dem eigenen Bekunden nach Google kontaktiert, sodass die trojanisierten Apps nicht mehr verfügbar und von betroffenen Smartphones automatisch entfernt worden sein sollten.

(dmk)