Der Security-Spezialist ESET hat einen außergewöhnlichen Angriff auf Android-Nutzer entdeckt.
Bereits Ende 2014 wurden von Cyberkriminellen populäre Spiele-Apps wie „Plants vs. Zombies“ oder „Candy Crush“ verwendet, um den Trojaner Android/Mapin in die mobilen Systeme der Opfer einzuspeisen. Und dies sogar bei Spielen aus dem Play Store.
Google Bouncer geschickt getäuscht
Denn eine ausgefeilte Tarnungs-Strategie umging die automatische Malware-Überprüfung von Google („Google Bouncer“). Was zur Folge hatte, dass sich die Malware zusammen mit den Spielen tausendfach verbreiten konnte. Bevor Google die Schadsoftware aus dem Store entfernte, wurde beispielsweise die gefälschte „Plants vs. Zombies“-App bereits über 10.000 Mal heruntergeladen.
Der Trojaner nutzte populäre Spiele-Apps für die schnelle Verbreitung über den Google Play Store und alternative Android App-Marktplätze. Dabei handelte es sich unter anderem um die folgenden Titel, die teils mit inkonsistenten App-Logos und absichtlichen Tippfehlern im Namen versehen waren:
- Plants Vs Zombies
- Plant vs Zombie
- Temple Run 2 Zoombie
- USubway Suffer
- Traffic Racer
- Super Hero Adventure
- Candy crush
- Jewel Crush
- Racing rivals
Schadhafte Komponenten erst nach Tagen aktiv
„Einige Varianten von Android/Mapin benötigen bis zu drei Tage, um den vollen Funktionsumfang des Trojaners zu erhalten. Dies dürfte einer der Gründe dafür sein, dass die integrierte Downloader-Routine dazu in der Lage war, das Google Bouncer-Sicherheitssystem zu umgehen“, kommentiert ESET Malware-Forscher Lukáš Štefanko die Wirkungsweise der Malware.
Nachdem die Schadsoftware aktiviert wurde, gibt sie vor, ein Google Play-Update oder eine Applikation namens „Manage Settings“ zu sein und verlangt weitreichende Administrations-Zugriffe, die tief ins System reichen. Bricht der Nutzer die Installation ab, erscheint das Dialogfeld so oft wieder, bis die Änderungen letztlich bestätigt werden – gewährt der Nutzer die erfragten Rechte, wird das infizierte Android-Gerät Teil eines großen Botnetzes, das von den Angreifern aus der Ferne gesteuert werden kann. Die Folge: ungefragter Download sowie Installation von ungewünschten Applikationen, Ausschnüffeln von privaten Daten wie Klarnamen, IMEI-Nummer und Google-Account-Infos, sowie die Anzeige von Vollbild-Werbeanzeigen auf dem infizierten Gerät.
Quelle: ESET