Android-Apps von Drittanbietern wecken oft Misstrauen – und das aus gutem Grund. Immer wieder werden Fälle bekannt, in denen Trojaner und andere Malware in scheinbar nützlichen Anwendungen versteckt sind. Kriminelle nutzen diese Apps, um dein Smartphone auszuspähen oder sogar an deine Zugangsdaten für das Online-Banking zu gelangen.
Trojaner in Android-Apps entdeckt
Weltweit gibt es etliche Sicherheitsexpertinnen und -experten, die das Netz sowie die verschiedenen App-Stores nach schädlicher Software scannen. Dieser Aufgabe haben sich auch die Fachleute von Zscaler ThreatLabz verschrieben und nehmen dabei speziell den Google Play Store unter die Lupe. Im Laufe der vergangenen Monate wollen sie dort 90 Anwendungen identifiziert und analysiert haben, die mit Malware infiziert sind. Insgesamt seien diese dem Bericht zufolge über 5,5 Millionen mal installiert worden.
Einen besonderen Anstieg habe das Team beim Einsatz der berüchtigten Malware Anatsa beobachtet. Die auch unter dem Namen TeaBot bekannte Software verwende Dropper-Anwendungen, um ihre bösartige Nutzlast zu installieren. Bei Dropper-Apps handelt es sich sozusagen um die harmlos erscheinende Fassade des Programms. Bei ihr kann es sich um PDF-Reader, QR-Code-Scanner und dergleichen handeln – also Android-Apps, die nahezu alle Nutzerinnen und Nutzer früher oder später einmal herunterladen.
„Anatsa ist eine bekannte Android-Banking-Malware, die auf Anwendungen von mehr als 650 Finanzinstituten abzielt, hauptsächlich in Europa“, warnt Zscaler. Das Team habe beobachtet, „dass Anatsa aktiv auf Bankanwendungen in den USA und Großbritannien abzielt. Jüngste Beobachtungen deuten jedoch darauf hin, dass Bedrohungsakteure ihre Ziele auf Bankanwendungen in Deutschland, Spanien, Finnland, Südkorea und Singapur ausgeweitet haben.“
Auch interessant: ChatGPT „entfesselt“: So nutzt man die KI mit nur einem Prompt im Godmode
So funktioniert Anatsa
Die Banking-Malware lade, sobald sie installiert sei, bösartigen Code oder eine gestaffelte Nutzlast von einem Command-and-Control (C2) Server herunter, getarnt als ein harmloses Update für die Dropper-Anwendung. Diese strategische Vorgehensweise ermögliche es der Malware, als Android-App in den offiziellen Google Play Store hochgeladen zu werden und der Entdeckung zu entgehen.
„Vor kurzem haben wir zwei bösartige Nutzdaten identifiziert, die mit Anatsa in Verbindung stehen und von Bedrohungsakteuren im Google Play Store verbreitet wurden“, so Zscaler weiter. „Diese Kampagne gab sich, wie so oft, als PDF-Reader- und QR-Code-Reader-Anwendungen aus, um eine große Anzahl von Installationen zu erreichen.“
Je häufiger eine solche Android-App installiert werde, desto vertrauenswürdiger erscheine sie auch neuen Nutzerinnen und Nutzern. Auf diese weise könne sich die Malware auf immer mehr Smartphones verteilen. „Zum Zeitpunkt der Analyse hatten beide Anwendungen bereits über 70.000 Installationen erreicht.“
Quelle: Zscaler Blog
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.