Google entfernt wieder 50 Apps aus dem Play Store

Erneut wurden 50 Android-Apps aus dem Google Play Store entfernt. Die infizierten Apps, die zwischenzeitlich über vier Millionen Mal heruntergeladen wurden, enthielten eine SMS-Malware. Die hatte ohne eine Ahnung der Anwender u.a. diverse Premium-SMS-Dienste abonniert.

Laut den Sicherheitsexperten von CheckPoint gehört diese Infektion zu einer neuen Variante einer Malware-Familie, die bereits Anfang des Jahres erstmals in verschiedenen Apps im Play Store aufgetaucht sind. Die gesamte Malware-Familie wurde inzwischen bis zu 21,1 Millionen Mal über diverse Apps auf die Android-Geräte heruntergeladen. Nach eigenen Angaben der Experten wurde die neue Variante mit Namen “ExpensiveWall (Trojan.AndroidOS.ExpensiveWall)” jetzt in mindesten 50 Android-Apps im Play Store lokalisieren. Um überhaupt an Kontrollen und diversen Sicherheitsmechanismen von Google vorbei zu kommen, setzt die Malware die fortgeschrittene Verschleierungs- und Verschlüsselungstechnik namens “packed” ein.

Die Experten geben an, dass die jüngste Malware u.a. gebündelt über eine Android Wallpaper App “Lovely Wallpaper” verteilt wurde.

Bild: blog.checkpoint.com – Lovely Wallpaper App

Wie geht die SMS-Malware vor?

Sobald Benutzer eine dieser bösartigen Apps heruntergeladen haben, werden in der Regel verschiedene Berechtigungen eingeholt. Über den erteilten Zugang zum Internet und die Möglichkeit, SMS-Nachrichten zu senden, sammelt die Malware u.a. im Hintergrund persönliche Informationen des Benutzers und des verwendeten Gerätes. Jedes Mal, wenn das Gerät eingeschaltet wird, verbindet sich die App mit ihrem C & C-Server und tausch die gesammelten Daten aus. Sie empfängt eine URL, die sie in einem eingebetteten WebView der App öffnet. Diese aufgerufene Seite enthält schädlichen JavaScript-Code, der u.a. in In-App-Funktionen über ein Javascript-Interface aufgerufen werden kann. Ohne Wissen des Benutzers werden so kostenpflichtige Premium-SMS-Dienste registriert und zudem über ausgeführte JavaScript-Codes stummes Klicken (Clickbaiting) auf Links von Werbeanzeigen initiiert. Laut betroffenen Anwendern schlagen die registrierten Premium-SMS-Abos mit bis zu 10 Euro pro Woche zu buche.

Google wurde über die infizierten Apps bereits am 7. August informiert, danach wurden diese aus dem Play Store entfernt. Ein paar Tage später wurde eine weitere infizierte App hochgeladen, die einige Tage später wieder entfernt wurde. In der Zwischenzeit wurde die App 5.000 Mal heruntergeladen.

Check Point warnt Benutzer, welche die infizierten Apps installiert haben. Die App muss manuell entfernt werden. Dazu gehört u.a. die App namens “Lovely Wallpaper“.

Liste der Paketnamen und Downloads (komplette Übersicht hier):

Bild: blog.checkpoint.com – Liste


Achtung: 
Während “ExpensiveWall” derzeit nur dazu gedacht ist, von seinen Opfern zu profitieren, könnte eine ähnliche modifiziert Malware selbige Infrastruktur nutzen, um Bilder und Audio aufzunehmen oder sensible Daten zu stehlen. Die Malware ist in der Lage im verborgenen, also ohne Wissen seines Opfers, im Hintergrund des Gerätes zu arbeiten und verwandelt damit das infizierte Gerät zum ultimativen Spionageinstrument.

Beachten Sie folgende vier Grundregeln!

  1. Achten Sie beim Download von Apps auch aus dem Goolge Play-Store auf die Bewertungen, diese können schon ein Indikator für dubiose oder schadhafte Apps sein
  2. Installieren Sie Apps nur aus seriösen Quellen, zur Sicherheit deaktivieren Sie auf dem Android unter Einstellungen-> Anwendungen-> das Laden von Apps aus “Unbekannten Quellen”
  3. Achten Sie darauf, welche Berechtigungen Sie gewähren, in der Regel muss der Benutzer die Installation selbst genehmigen
  4. Installieren Sie als Grundschutz eine Antiviren-Lösung auf dem Android-Gerät (z.B. den Botfrei EU-Cleaner Mobile von GData)

Weitere Tipps vom Botfrei-Team:

  • Halten Sie die Firmware des Gerätes immer aktuell.
  • Installieren Sie auf dem Smartphone eine Antiviren Software
  • Installieren Sie Apps nur aus seriösen Quellen, zur Sicherheit deaktivieren Sie auf dem Android unter Einstellungen-> Anwendungen-> das Laden von Apps aus “Unbekannten Quellen”
  • Seien Sie misstrauisch bei unbekannten E-Mails/ SMS mit eingebetteten Links bzw. mit dubiosen Anhängen
  • Prüfen Sie kritisch bei der Installation von neuen Apps, ob die geforderten Berechtigungen angemessen sind, wenn Sie sich nicht sicher sind, sollten Sie die App nicht installieren.

Wenn Sie damit nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.