von Robert Klatt •
Trend Micro hat wieder zahlreiche Apps mit Malware im Play Store gefunden. Handelt es sich hierbei noch um Einzelfälle oder ist Android grundsätzlich unsicher?
Der IT-Sicherheitsanbieter Trend Micro hat im Google Play Store 53 verschiedene Apps gefunden, die eine Malware enthalten, die Facebook-Anmeldedaten klauen möchte. Außerdem werden Nutzer, die die Malware installiert haben, mit unerwünschten Werbe-Pop-Ups belästigt. Möglicherweise wurde die auf den Namen GhostTeam getauft Malware mehrere hunderttausendmal heruntergeladen.
Besonders kritisch ist, dass die ersten GhostTeam-Apps bereits im April 2017 in den Google Play Store aufgenommen wurden. Trotz der enthaltenen Malware waren sie damit rund neun Monate in Googles App-Marktplatz. Zu den infizierten Apps die von den Kriminellen hochgeladen wurden gehörten verschiedene Tools zur Verbesserung der Leistung und zum Downloaden von Videos aus sozialen Netzwerken wie Facebook. Allein die App „Download Videos From Facebook“ wurde zwischen 100.000 und 500.000-mal aus dem Play Store bezogen.
GhostTeam probiert nach der Infektion zuerst aus, ob es auf einem Emulator oder in einer virtuellen Umgebung ausgeführt wird. Laut Trend Micro soll so die Analyse der Schadsoftware erschwert werden. Wenn die Malware festgestellt hat, dass die ein echtes Gerät infiziert hat, versucht sie den Opfern eine gefälsche Version der Google Play Services zu installieren. Dazu verlangt sie nach Administratorrechten, die der Malware vollständige Kontrolle über das Gerät ermöglicht.
Bei infizierten Geräten wird mit Hilfe des Android WebView Client eine gefälschte Seite beim Öffnen der Facebook-App eingeblendet. Dort eingetragene Anmeldedaten werden an einen von den Hintermännern der Malware kontrollierten Server übertragen.
Wofür die gestohlenen Daten verwendet werden ist unklar. Laut Trend Micro gibt es aktuell keine Kampagne, die auf gestohlene Accounts des sozialen Netzwerks zurückgreift. Möglicherweise sollen die Accounts in Zukunft genutzt werden um weitere Malware zu verbreiten. Es ist aber möglich, dass sie für eine groß angelegt Fake News Kampagne benötigt werden.
Um schon jetzt Einnahmen zu erzielen blendet GhostTeam Werbung auf infizierten Geräten ein. Die bildschirmfüllenden Anzeigen werden hauptsächlich angezeigt, wenn der Nutzer sich auf dem Home-Bildschirm befindet. GhostTeam hält das Gerät die aktiv. Damit der Bildschirm nicht automatisch ausgeschaltet wird, werden regelmäßig im Hintergrund Anzeigen geöffnet.
Trend Micro hat die meisten infizierten Geräte in Indien lokalisiert, das seit einiger Zeit mehr Facebook-Nutzer als die USA hat. Andere Zentren sind Indonesien, Brasilien, Vietnam, Australien und die Philippinen. Es ist wahrscheinlich, dass die Entwickler von GhostTeam aus Vietnam stammen, da nur dort die Apps in der Landessprache vorliegen. In allen anderen Regionen sind sie nur auf Englisch verfügbar. Google hat die gefundenen Apps inzwischen aus dem Play Store gelöscht.