Als Antivirus getarnte Malware

Die gefälschte Virenschutz-App Kaspersky Internet Security for Android macht das Risiko deutlich, dass das Herunterladen von Apps in inoffiziellen Stores birgt.

Bei fast jedem Blogbeitrag zum Thema Android empfehlen wir, Apps nur von offiziellen Quellen herunterzuladen und diese Faustregel wird sich in naher Zukunft auch nicht ändern. Das können wir an einem Beispiel verdeutlichen: Betrüger haben Geräte mit einem Banking-Trojaner infiziert, der u. A. als folgendes getarnt wird: Ein beliebter Media-Player, eine Fitness-App, eine E-Book-Reader-App und eine App aus unserem unmittelbaren Unternehmensumfeld, und zwar die Kaspersky Internet Security for Android.

Warum der Download von Apps aus alternativen Quellen gefährlich ist

An sich ist an alternativen App-Stores nichts auszusetzen. Das Problem besteht darin, dass man nicht genau weiß, wie zuverlässig diese Art von App-Marketplaces sind. Bei offiziellen Stores für Android-Apps wie Google Play oder Huawei AppGallery überprüfen die Mitarbeiter der jeweiligen Unternehmen jede von den Entwicklern geschickte Anwendung, um schädliche Apps von vornherein zu vermeiden. Das sind große Unternehmen, denen es sehr wichtig ist ihren guten Ruf aufrechtzuerhalten und Kundensicherheit wird hier großgeschrieben. Diese Unternehmen verfügen sowohl über die erforderlichen Ressourcen als auch über die notwendige Motivation, um Benutzer bestmöglich vor Malware zu schützen.

Trotz den strengen, mehrstufigen Überprüfungen kann sich selbst in Google Play gelegentlich Malware einschleichen. Das Risiko im App-Store von Google auf Schadware zu stoßen ist dennoch wesentlich geringer als in Internetforen, Torrent-Trackers oder auf anderen Webseiten. Kleine, unabhängige App-Marketplaces testen die Anwendungen in der Regel nicht so gründlich, weil ihnen einfach die Ressourcen dafür fehlen. Aus diesem Grund kann hinter den Apps auf solchen Plattformen so ziemlich alles stecken, sogar ein Trojaner.

Wir möchten an dieser Stelle kurz darauf aufmerksam machen, dass allein das Herunterladen der Malware auf ein Android-Gerät in der Regel nicht ausreicht, um es zu infizieren. Es sei denn die Malware nutzt einen bestimmten Zero-Day Exploit aus, um Superuser-Rechte zu erhalten. Im Normalfall ist es gar nicht so einfach eine gefährliche App auf einem Android-Gerät zu installieren. Bei jedem Schritt schickt das Betriebssystem eine Anfrage an den Benutzer: Ob die App wirklich installiert werden soll, ob der Benutzer der App bestimmte Berechtigungen erteilen möchte usw. Cyberkriminelle schaffen es oft mithilfe von Social Engineering Benutzer dazu zu verleiten alles mit „Ja“ zu beantworten.

Schädliche Sicherheit von einem alternativen App-Marketplace

Folgend ein Beispiel: Erst vor Kurzem berichteten einige Forscher über Android-Anwendungen, die über verschiedene Fake-Websites verteilt werden. Zu diesen gefälschten Anwendungen zählt auch die Fake-Version von Kaspersky Internet Security for Android.

Die Betrüger verteilten die gefälschte App unter dem Namen „Kaspersky Free Antivirus“ (wir führten tatsächlich ein Produkt mit diesem Namen, aber das wurde ausschließlich für Windows entwickelt). Auf Google Play heißt unsere Virenschutz-App aktuell Kaspersky Sicherheit: Antivirus & Handy Schutz.

Ironischerweise erhalten die Benutzer, die die Fake-Antivirus-App herunterladen, einen Banking-Trojaner, der unter dem Namen TeaBot bekannt ist und von unseren Sicherheitsprodukten als HEUR: Trojan-Banker.AndroidOS.Teaban oder HEUR: Trojan-Banker.AndroidOS.Regon entdeckt wurde.

Warum sind als Antivirus getarnte Trojaner besonders problematisch? Weil der ahnungslose Benutzer den Fake-Virenscanner nicht nur herunterlädt, sondern den Banking-Trojaner auch installiert und ihm sämtliche angeforderten Rechte gewährt. Schließlich brauchen echte Virenscanner-Apps viele Berechtigungen, einschließlich das Recht die Accessibility Services zu benutzen.

Noch schlimmer ist die Tatsache, dass die meisten Benutzer einen Virenscanner herunterladen, weil ihr Gerät über keinerlei Virenschutz verfügt und dementsprechend die Malware auch nicht erkennen kann.

Nach der erfolgreichen Installierung und Erhalt aller erforderlichen Berechtigungen, kann der TeaBot-Trojaner so ziemlich alles mit dem Android-Gerät machen. Der installierte Trojaner verfügt über eine große Anzahl an Fähigkeiten, die von Keylogging, Diebstahl von Google Authenticator-Codes und Ausnutzung der Accessibility Services bis hin zur kompletten Kontrolle über das Android-Gerät reichen kann.

Woran erkenne ich eine legitime App?

TeaBot wird nicht nur in Virenscannern versteckt. Die Malware wurde auch in allgemein bekannten Reader-, Regierungs-, Finanz- und Fitness-Apps usw. gefunden. Um auf der sicheren Seite zu bleiben, deaktivieren Sie die Fähigkeit Ihres Smartphones, Apps von unbekannten Quellen zu installieren – bei Android ist das möglich. Wenn Sie eine App brauchen – egal welche – empfehlen wir Ihnen auf einem offiziellen App-Marketplace danach zu suchen.

Seien Sie außerdem besonders vorsichtig mit den Berechtigungen, die Sie den jeweiligen Apps erteilen. Wenn Sie beispielsweise eine Fitness-App unerwartet um das Recht bittet, den Accessibility Service zu nutzen, überlegen Sie zweimal (oder dreimal) bevor Sie auf die Anfrage antworten.

Zu guter Letzt ist es wichtig einen authentischen Virenschutz zu verwenden. Da eine vollkommen kostenlose Version von Kaspersky Internet Security for Android zur Verfügung steht, gibt es überhaupt keinen Grund dafür, diese Sicherheitslösung auf einer inoffiziellen Quelle herunterzuladen. Unsere App für Viren-, Spyware- und Diebstahlschutz für Android-Smartphones und -Tablets finden Sie in Google Play und in der Huawei AppGallery.

Tipps