Harly: Abo-Trojaner im Google Play Store

Wir erklären, wie der Harly-Trojaner auf Android-Nutzer abzielt.

Hinter den scheinbar harmlosen Apps aus dem offiziellen Google Play Store verbirgt sich oft Malware verschiedenster Art. Leider gelingt es den Moderatoren auch bei sorgfältiger Überwachung der Plattform nicht immer, solche Apps zu entdecken, bevor sie veröffentlicht werden. Eine der beliebtesten Varianten dieser Art von Malware sind Abo-Trojaner, die sich ohne das Wissen des Nutzers für kostenpflichtige Dienste anmelden. Wir haben bereits über die häufigsten Familien dieser Art von Trojanern berichtet. In diesem Beitrag geht es um einen weiteren Trojaner dieser Spezies. Er ähnelt dem Jocker Trojaner – weshalb er den Namen Harly, der (leicht abgewandelte) Name des Handlangers eines bekannten Comic-Bösewichts, trägt. Beide Trojaner haben vermutlich einen gemeinsamen Ursprung.

Harly-Trojaner im Überblick

Mehr als 190 mit Harly infizierte Apps wurden seit 2020 bei Google Play gefunden. Die Zahl der Downloads dieser Apps wird vage auf 4,8 Millionen geschätzt, die tatsächliche Zahl könnte jedoch viel höher sein.

Beispiele für Apps im Google Play Store, die Harly-Malware enthalten

 

Wie Jocker imitiert auch die Trojaner-Familie Harly legitime Anwendungen. Aber wie genau funktioniert das? Betrüger laden eine normale App von Google Play herunter, fügen ihr Schadcode hinzu und laden sie dann unter einem anderen Namen erneut im Google Play Store hoch. Im Anschluss hat die App vermutlich noch immer die in der Beschreibung angegebenen Funktionen, weshalb der Nutzer höchstwahrscheinlich rein gar nichts von einer möglichen Bedrohung ahnt.

Weitere Beispiele für Apps im Play Store, die Harly-Malware enthalten

 

Die meisten Mitglieder der Jocker-Familie sind mehrstufige Downloader und erhalten die Nutzlast von den C&C-Servern der Betrüger. Trojaner der Harly-Familie hingegen enthalten die gesamte Nutzlast innerhalb der App und verwenden verschiedene Methoden, um sie zu entschlüsseln und auszuführen.

Bewertungen von Nutzern, die sich über anfallende Gebühren beschweren

 

So funktioniert der Abo-Trojaner Harly

Nehmen wir als Beispiel die App namens com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), eine Taschenlampen-App, die bereits mehr als 10.000 Mal bei Google Play heruntergeladen wurde.

Eine mit dem Harly-Trojaner infizierte App

 

Beim Start der Anwendung wird eine fragwürdige Bibliothek geladen:

Eine fragwürdige Bibliothek

 

Die Bibliothek entschlüsselt die Datei aus den Ressourcen der Anwendung.

Entschlüsselung einer Datei aus den App-Ressourcen

Interessanterweise haben die Autoren der Malware gelernt, mit den Programmiersprachen Go und Rust umzugehen, aber bisher beschränken sich ihre Fähigkeiten auf das Entschlüsseln und Herunterladen des bösartigen SDK.

Wie andere Abo-Trojaner auch, sammelt Harly Informationen über das Gerät des Benutzers, insbesondere über das Mobilfunknetz. Wechselt das Gerät des Nutzers zu einem Mobilfunknetz, fordert der Trojaner eine Abo-Liste vom C&C-Server mit den Diensten an, die abonniert werden sollen.

Da der Trojaner nur mit thailändischen Betreibern funktioniert, überprüft er zunächst die MNCs (Mobile Network Codes: eindeutige Betreiberkennungen), um sicherzustellen, dass es sich um einen thailändischen Anbieter handelt.

Überprüfung der MNCs

 

Als Test-MNC verwendet er jedoch den Code von China Telecom – 46011. Dies und andere Hinweise deuten darauf hin, dass die Entwickler der Malware in China ansässig sind.

Test-MNC

 

Der Trojaner öffnet die Abo-Adresse in einem unsichtbaren Fenster, fügt ein JS-Skript ein, gibt die Telefonnummer des Benutzers ein, drückt die gewünschten Tasten und gibt den Bestätigungscode aus einer Textnachricht ein. Dadurch wird der Nutzer zu einem zahlenden Mitglied, ohne es zu merken.

Ein weiteres auffälliges Merkmal dieses Trojaners ist, dass er Abos abschließen kann, obwohl der Prozess durch einen Telefonanruf geschützt ist. In diesem Fall ruft der Trojaner eine bestimmte Nummer an und bestätigt das Abonnement einfach selbst.

Unsere Produkte identifizieren schädliche Apps wie die hier beschriebene als Trojan.AndroidOS.Harly und Trojan.AndroidOS.Piom.

 

So schützen Sie sich vor Abo-Trojanern

Offizielle App-Stores kämpfen ständig gegen die Verbreitung von Malware, aber wie wir sehen, sind sie nicht immer erfolgreich. Bevor Sie eine App installieren, sollten Sie zunächst die Nutzerbewertungen lesen und die Rezensionen auf Google Play überprüfen. Natürlich sollten Sie bedenken, dass Kritiken und Bewertungen nicht immer der Wahrheit entsprechen. Damit Sie nicht auf diese Art von Malware hereinfallen, empfehlen wir Ihnen die Installation einer eine zuverlässige Sicherheitslösung.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder