400 Trojaner auf Google Play

11 Okt 2016

Wir raten Android-Nutzern oft dazu, Apps nur von offiziellen App-Stores herunterzuladen. Es ist viel sicherer, auf Google Play nach Apps zu suchen, weil alle Apps im Store durch strenge mehrstufige Überprüfungen und Genehmigungen gehen, bevor sie letztendlich veröffentlicht werden.

Jedoch schleichen sich manchmal zwielichtige Apps in Google Play ein. In einem aktuellen Vorfall waren mehr als 400 Apps auf Google Play (und fast 3.000 in anderen App-Stores) mit dem Trojaner DressCode infiziert.

Die Malware erhielt ihren komischen Namen von dem Moment, als sie zum ersten Mal gesehen wurde: Der Trojaner wurde das erste Mal von Forschern im August 2016 entdeckt, in mehreren Dress-up-Apps, Spieleapps für Mädchen.

Eins dieser Spiele wurde zwischen 100.000 und 500.000 Mal von Google Play heruntergeladen. Es wurden auch andere Apps vom selben Trojaner infiziert. Bis dahin wurden mehr als 400 infizierte Apps gefunden, über 40 von ihnen auf Google Play. Die Forscher informierten Google und das Unternehmen löschte die zwielichtige Apps aus seinem Store.

Aber zu diesem Zeitpunkt war eine andere Forschungsgruppe auf den Trojaner aufmerksam geworden und sie entschied sich dazu, tiefer nachzuforschen und in verschiedenen App-Stores zu suchen. Und nur vor ein paar Tagen fand das Team über 3.000 Apps, die mit DressCode infiziert waren; mehr als 400 von ihnen in Google Play.

Die meisten der betroffenen Apps sind Apps aus dem Spielebereich – z. B. Apps mit Tipps für Spieler und Spielmodifikationen. Unter den schädlichen Apps gab es eine Vielzahl von Leistungsverstärkern, Optimierern und anderen scheinbar nützlichen Funktionen.

Das größte Problem mit DressCode ist, dass es schwer aufzuspüren ist. Der Code des Trojaners ist im Vergleich zum Code seines „Inhaber-“ Programms sehr klein. Deshalb haben es wahrscheinlich so viele infizierte Apps durch das Prüfungsverfahren von Google, und in Google Play geschafft.

Was macht DressCode?

Generell ist der einzige Zweck von DressCode, eine Verbindung mit einem Command-and-Control-Server herzustellen. Wurde die Verbindung einmal hergestellt, sendet der Server einen Befehl an den Trojaner, stellt ihn ruhig und macht ein unmittelbares Aufspüren fast unmöglich. Entschließt sich ein Hacker erstmal, das infizierte Gerät zu verwenden, kann er den Trojaner wecken, der aus dem Smartphone oder Tablet einen Proxyserver macht, und ihn dazu benutzen, Internetverkehr umzuleiten.

Wie profitieren Cyberkriminelle davon?

Zunächst können infizierte Geräte als Teil eines Botnetzes verwendet werden, um Anfragen an bestimmte IP-Adressen weiterzuleiten. Durch diese Methode können Kriminelle den Datenverkehr erhöhen, Klicks auf Banner und bezahlte URLs erzeugen, und DDoS-Angriffe erzeugen, um gezielt Webseiten zu löschen.

Zweitens: Wenn ein infiziertes Gerät (sagen wir mal, ein Firmen-Smartphone) auf lokale Netzwerkressourcen zugreifen kann, können auch Angreifer Zugriff erhalten und mithilfe des Geräts sensible Daten stehlen.

Wie kann ich vermeiden, Teil eines Botnetzes zu werden?

Das ist ein sehr seltener Fall, in dem unser gewöhnlicher Hinweis – Apps von offiziellen Stores herunterzuladen – nicht genug ist. Es stimmt, dass, im Vergleich zu anderen Android-Stores, auf Google Play viel weniger schädliche Apps zu finden sind, aber 400 infizierte Apps sind nicht wenig. Daneben enthalten sie extreme Verkaufsschlager, wie Minecraft „GTA 5“-Modus (ja, es existiert wirklich), das mehr als 500.000 Mal heruntergeladen wurde.

Also kürzen wir unsere gewöhnliche Empfehlungsliste auf zwei Punkte:

1. Seien Sie sehr vorsichtig, wenn Sie Apps herunterladen. Bevor Sie eine unbekannte App installieren, überprüfen Sie kritisch User-Rezensionen, schauen Sie sich die Berechtigungsliste an und nehemn Sie sich die Zeit, nachzudenken. Leider können Sie nicht allen Rezensionen auf Google Play trauen, aber zumindest können Sie sich ein ungefähres Bild davon machen, wie vertrauenserweckend eine App sein könnte.

2. Installieren Sie eine gute Sicherheitslösung auf Ihren mobilen Geräten. Kaspersky Antivirus & Security für Android erkennt DressCode als HEUR:Backdoor.AndroidOS.Sobot.a. Sollten Sie eine bezahlte Version unseres Schutzes nutzen, durchsucht diese automatisch alle neuen Apps und wird jedes mit DressCode verbundene Programm auf Ihrem Gerät blockieren. Sollte Sie eine kostenlose Version installiert haben, vergessen Sie nicht, Ihr Gerät regelmäßig zu scannen.