bluebit

Nur Android ist betroffen

Als WhatsApp getarnte Malware infiziert eine Million Nutzer

von Dennis Lenz •

Über eine Million Android Nutzer haben unwissentlich ihr Smartphone mit einer als WhatsApp getarnten Malware infiziert.


0 Kommentare

Obwohl Google stets bemüht ist mit ihren Filtern rund um Play Protect den Play Store sauber zu halten ist es bereits einige Male vorgekommen, dass sich Malware dort in sehr kurzer Zeit stark verbreiten konnte. Am ersten Novemberwochenende 2017 wurde erneut ein solcher Fall aufgedeckt. Eine als WhatsApp getarnte Malware-App konnte über den Play Store über eine Million Downloads erzielen. Inzwischen wurde die App von Google bereits aus dem Play Store entfernt.

Ähnliche Fälle waren in letzter Zeit häufiger in den Medien. Dies muss jedoch nicht zwingend mit einem Anstieg der Malware-Apps zu tun haben und lässt sich auch auf eine größere Aufmerksamkeit der Presse und Nutzer zurückführen. Es ist zu vermuten, dass in der Vergangenheit ein großer Teil der infizierten Apps entweder nicht entdeckt worden sind oder, dass über einen großen Teil nicht berichtet wurde. Außerdem ist zu vermuten, dass einige kriminelle Hacker gezielt den Play Store angreifen, weil sie die neuen Sicherheitsmechanismen als Herausforderung ansehen. Der im aktuellen Fall angewandte Trick ist sehr simpel und mit über einer Million Downloads trotzdem effektiv.

Der oder die Hintermänner der Malware platzierten im Play Store eine App mit dem Namen „Update WhatsApp Messenger“ vom Entwickler „WhatsApp Inc.“. Trotz des verdächtig klingenden Titels haben mehr als eine Million Nutzer weltweit die App heruntergeladen. Statt der erwarteten WhatsApp-App erhielten sie eine App, die im Hintergrund läuft und ständig Werbung einblendet und zum Download weiterer fragwürdiger Apps aufruft.

Die Malware soll des Weiteren im Hintergrund eine APK Datei mit dem Titel „Whatsapp.apk“ heruntergeladen haben. Es wird vermutet, dass es sich dabei um das echte WhatsApp handelt. Die Nutzer sollen so das Gefühl vermittelt bekommen, dass sie die richtige App heruntergeladen haben. Um eine einfache Deinstallation der Malware zu verhindern besitzt sie kein Icon, was dazu führt, dass sie im App Drawer nicht angezeigt wird. Unerfahrene Android-Nutzer können die App so ohne Hilfe kaum deinstallieren.

Es ist erstaunlich, dass die mehr als eine Million Mal heruntergeladene Malware laut einem Screenshot im Google Play Store mit 4,2 Sternen bewertet ist. Dies sind nur 0,2 Sterne weniger als beim richtigen WhatsApp Messenger.

Um die App in den Play Store zu bekommen, griffen die Entwickler auf einen simplen Trick zurück. Sie fügten dem Entwicklernamen der App ein unsichtbares Unicode-Zeichen hinzu, was im Play Store nicht angezeigt wurde. Googles Algorithmen erkannte aufgrund des unsichtbaren Unicode-Zeichens den Entwicklernamen „WhatsApp Inc. nicht und ging davon aus, dass es sich um einen anderen Entwickler handelt. Außerdem war der Veröffentlichungszeitpunkt gut gewählt. Etwa zeitgleich mit der Veröffentlichung der Malware gab auch WhatsApp bekannt ein neues Feature einzuführen. Nutzer die dieses Feature vor dem offiziellen Update nutzen wollten, wurden also verleitet die falsche WhatsApp Version aus dem Play Store herunterzuladen.

Auch der interne Name „whyuas.fullversion.update2017“ hatte keine Ähnlichkeit zum echten internen Namen „com.whatsapp“. Insgesamt wird es deutlich, dass der Fehler bei Googles Filtern und in der Qualitätssicherung zu suchen ist. Unerfahrene Anwender haben nur geringer Chancen sich zu schützen, wenn es die App einmal in den Play Store geschafft hat.

0 Kommentare

Kommentar verfassen