Google hat mehrere Apps aus Google Play entfernt, die nach einem Update zu Schadprogrammen mutieren. Sie schleusen Malware ein, die Bankdaten ausspionieren soll.
Das Sicherheitsunternehmen Check Point hat mehrere schädliche Apps in Google Play entdeckt, die Googles initiale Prüfungen unterlaufen haben. Die Apps geben sich zunächst harmlos und kommen als VPN-Software, Media Player oder Barcode-Scanner daher. Diese Funktionalität haben die Macher aus legitimen Open-Source-Apps kopiert und unter einem Fake-Account neu bei Google Play eingestellt. So sind sie zunächst durch die Prüfung bei Play Protect gerutscht.
Nach einem Software-Update haben die Fake-Apps ihr Verhalten geändert und ein Malware-Dropper namens Clast82 wird aktiv. Der installiert zum Beispiel das Trojanische Pferd AlienBot, der Zugangsdaten fürs Online-Banking ausspioniert. Mit dem Remote Access Tool MRAT haben die Täter versucht, die Kontrolle über die betroffenen Smartphones zu übernehmen. So könnten sie etwa auch SMS-TANs abfangen.
Beim Herunterladen der Malware versuchen die Kriminellen, weitere Schutzvorkehrungen zu umgehen. Ist das Android-Gerät so konfiguriert, dass App-Downloads aus unbekannten Quellen blockiert werden, penetriert Clast82 die Benutzer im 5-Sekunden-Takt mit Aufforderungen, die Installation zuzulassen. Diese Aufforderungen sollen den Eindruck erwecken, sie kämen von Google Play.
Die Apps dieser Malware-Kampagne wurden zwar über verschiedene Entwickler-Accounts bei Google Play angeboten, alle weisen jedoch dieselbe Mail-Adresse auf und verweisen für die vorgeschriebene Datenschutzerklärung auf dasselbe GitHub-Repository. Mail-Adresse und Repository gehören laut Check Point zu derselben Person. Auch die Malware lädt Clast82 aus einem GitHub-Repository dieser Person.
Quelle: Artikel bei pcwelt.de