{"id":29306,"date":"2022-09-28T14:55:05","date_gmt":"2022-09-28T12:55:05","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29306"},"modified":"2022-09-28T14:55:05","modified_gmt":"2022-09-28T12:55:05","slug":"harly-trojan-subscriber","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/harly-trojan-subscriber\/29306\/","title":{"rendered":"Harly: Abo-Trojaner im Google Play Store"},"content":{"rendered":"

Hinter den scheinbar harmlosen Apps aus dem offiziellen Google Play Store verbirgt sich oft Malware verschiedenster Art. Leider gelingt es den Moderatoren auch bei sorgf\u00e4ltiger \u00dcberwachung der Plattform nicht immer, solche Apps zu entdecken, bevor sie ver\u00f6ffentlicht werden. Eine der beliebtesten Varianten dieser Art von Malware sind Abo-Trojaner, die sich ohne das Wissen des Nutzers f\u00fcr kostenpflichtige Dienste anmelden. Wir haben bereits \u00fcber die h\u00e4ufigsten Familien dieser Art von Trojanern berichtet<\/a>. In diesem Beitrag geht es um einen weiteren Trojaner dieser Spezies. Er \u00e4hnelt dem Jocker Trojaner \u2013 weshalb er den Namen Harly, der (leicht abgewandelte) Name des Handlangers<\/a> eines bekannten Comic-B\u00f6sewichts, tr\u00e4gt. Beide Trojaner haben vermutlich einen gemeinsamen Ursprung.<\/p>\n

Harly-Trojaner im \u00dcberblick<\/h2>\n

Mehr als 190 mit Harly infizierte Apps wurden seit 2020 bei Google Play gefunden. Die Zahl der Downloads dieser Apps wird vage auf 4,8 Millionen gesch\u00e4tzt, die tats\u00e4chliche Zahl k\u00f6nnte jedoch viel h\u00f6her sein.<\/p>\n

\"\"

Beispiele f\u00fcr Apps im Google Play Store, die Harly-Malware enthalten<\/p><\/div>\n

\u00a0<\/p>\n

Wie Jocker imitiert auch die Trojaner-Familie Harly legitime Anwendungen. Aber wie genau funktioniert das? Betr\u00fcger laden eine normale App von Google Play herunter, f\u00fcgen ihr Schadcode hinzu und laden sie dann unter einem anderen Namen erneut im Google Play Store hoch. Im Anschluss hat die App vermutlich noch immer die in der Beschreibung angegebenen Funktionen, weshalb der Nutzer h\u00f6chstwahrscheinlich rein gar nichts von einer m\u00f6glichen Bedrohung ahnt.<\/p>\n

\"\"

Weitere Beispiele f\u00fcr Apps im Play Store, die Harly-Malware enthalten<\/p><\/div>\n

\u00a0<\/p>\n

Die meisten Mitglieder der Jocker-Familie sind mehrstufige Downloader<\/a> und erhalten die Nutzlast von den C&C-Servern der Betr\u00fcger. Trojaner der Harly-Familie hingegen enthalten die gesamte Nutzlast innerhalb der App und verwenden verschiedene Methoden, um sie zu entschl\u00fcsseln und auszuf\u00fchren.<\/p>\n

\"\"

Bewertungen von Nutzern, die sich \u00fcber anfallende Geb\u00fchren beschweren<\/p><\/div>\n

\u00a0<\/strong><\/h2>\n

So funktioniert der Abo-Trojaner Harly<\/h2>\n

Nehmen wir als Beispiel die App namens com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), eine Taschenlampen-App, die bereits mehr als 10.000 Mal bei Google Play heruntergeladen wurde.<\/p>\n

\"\"

Eine mit dem Harly-Trojaner infizierte App<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Beim Start der Anwendung wird eine fragw\u00fcrdige Bibliothek geladen:<\/p>\n

\"\"

Eine fragw\u00fcrdige Bibliothek<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Die Bibliothek entschl\u00fcsselt die Datei aus den Ressourcen der Anwendung.<\/p>\n

\"\"

Entschl\u00fcsselung einer Datei aus den App-Ressourcen<\/p><\/div>\n

Interessanterweise haben die Autoren der Malware gelernt, mit den Programmiersprachen Go<\/a> und Rust<\/a> umzugehen, aber bisher beschr\u00e4nken sich ihre F\u00e4higkeiten auf das Entschl\u00fcsseln und Herunterladen des b\u00f6sartigen SDK<\/a>.<\/p>\n

Wie andere Abo-Trojaner auch, sammelt Harly Informationen \u00fcber das Ger\u00e4t des Benutzers, insbesondere \u00fcber das Mobilfunknetz. Wechselt das Ger\u00e4t des Nutzers zu einem Mobilfunknetz, fordert der Trojaner eine Abo-Liste vom C&C-Server mit den Diensten an, die abonniert werden sollen.<\/p>\n

Da der Trojaner nur mit thail\u00e4ndischen Betreibern funktioniert, \u00fcberpr\u00fcft er zun\u00e4chst die MNCs<\/a> (Mobile Network Codes: eindeutige Betreiberkennungen), um sicherzustellen, dass es sich um einen thail\u00e4ndischen Anbieter handelt.<\/p>\n

\"\"

\u00dcberpr\u00fcfung der MNCs<\/p><\/div>\n

\u00a0<\/p>\n

Als Test-MNC verwendet er jedoch den Code von China Telecom \u2013 46011. Dies und andere Hinweise deuten darauf hin, dass die Entwickler der Malware in China ans\u00e4ssig sind.<\/p>\n

\"\"

Test-MNC<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Der Trojaner \u00f6ffnet die Abo-Adresse in einem unsichtbaren Fenster, f\u00fcgt ein JS-Skript ein, gibt die Telefonnummer des Benutzers ein, dr\u00fcckt die gew\u00fcnschten Tasten und gibt den Best\u00e4tigungscode aus einer Textnachricht ein. Dadurch wird der Nutzer zu einem zahlenden Mitglied, ohne es zu merken.<\/p>\n

Ein weiteres auff\u00e4lliges Merkmal dieses Trojaners ist, dass er Abos abschlie\u00dfen kann, obwohl der Prozess durch einen Telefonanruf gesch\u00fctzt ist. In diesem Fall ruft der Trojaner eine bestimmte Nummer an und best\u00e4tigt das Abonnement einfach selbst.<\/p>\n

Unsere Produkte identifizieren sch\u00e4dliche Apps wie die hier beschriebene als Trojan.AndroidOS.Harly und Trojan.AndroidOS.Piom.<\/p>\n

\u00a0<\/p>\n

So sch\u00fctzen Sie sich vor Abo-Trojanern<\/h2>\n

Offizielle App-Stores k\u00e4mpfen st\u00e4ndig gegen die Verbreitung von Malware, aber wie wir sehen, sind sie nicht immer erfolgreich. Bevor Sie eine App installieren, sollten Sie zun\u00e4chst die Nutzerbewertungen lesen und die Rezensionen auf Google Play \u00fcberpr\u00fcfen. Nat\u00fcrlich sollten Sie bedenken, dass Kritiken und Bewertungen nicht immer der Wahrheit entsprechen<\/a>. Damit Sie nicht auf diese Art von Malware hereinfallen, empfehlen wir Ihnen die Installation einer eine zuverl\u00e4ssige Sicherheitsl\u00f6sung<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Wir erkl\u00e4ren, wie der Harly-Trojaner auf Android-Nutzer abzielt.<\/p>\n","protected":false},"author":2492,"featured_media":29315,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[3429,55,184,257],"class_list":{"0":"post-29306","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-abonnements","9":"tag-android","10":"tag-google-play","11":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/harly-trojan-subscriber\/29306\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/harly-trojan-subscriber\/24633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/harly-trojan-subscriber\/20100\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/harly-trojan-subscriber\/10143\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/harly-trojan-subscriber\/27085\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/harly-trojan-subscriber\/24990\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/harly-trojan-subscriber\/25313\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/harly-trojan-subscriber\/27704\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/harly-trojan-subscriber\/27229\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/harly-trojan-subscriber\/34011\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/harly-trojan-subscriber\/11049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/harly-trojan-subscriber\/45573\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/harly-trojan-subscriber\/19501\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/harly-trojan-subscriber\/20062\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/harly-trojan-subscriber\/32616\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/harly-trojan-subscriber\/28493\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/harly-trojan-subscriber\/25478\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/harly-trojan-subscriber\/31046\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/harly-trojan-subscriber\/30738\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2492"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29306"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29306\/revisions"}],"predecessor-version":[{"id":29317,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29306\/revisions\/29317"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29315"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}