Android-Malware kapert WhatsApp-Nachrichten

Die Sicherheitsforscher von Check Point Research (CPR) berichten über eine Android-Malware, die vor allem darauf abzielt, WhatsApp zu missbrauchen. Auf Smartphones gelangte sie leider direkt über den Google Play Store bzw. die einige Zeit dort vorhandene App FlixOnline. Letztere imitierte Netflix.

FlixOnline gab vor den Zugang auf die Netflix-Bibliothek zu ermöglichen. Das war natürlich nur eine Masche, denn stattdessen wurde Malware auf das jeweilige Gerät geschaufelt. Nach der Installation auf dem Smartphone forderte die Anwendung den Nutzer auf, ihr vermeintlich notwendige Berechtigungen zu erteilen. Dazu zählten etwa „Akku-Optimierung ignorieren“, Zugriff auf die Benachrichtigungen und die Option im Vordergrund als Overlay neue Fenster über anderen Apps zu öffnen. So lassen sich etwa gefälschte Anmeldebildschirme generieren.

Kombiniert hat FlixOnline seine Berechtigungen verwendet, um WhatsApp-Nachrichten abzufangen und dann automatisch Antworten darauf zu versenden. Um sich zu verbreiten, knallte die App denn folgende Nachricht heraus:  „2 Monate Netflix Premium kostenlos HIER (CORONA VIRUS)* Holen Sie sich 2 Monate Netflix Premium kostenlos für 60 Tage überall auf der Welt. Holen Sie es sich jetzt HIER https://bit[.]ly/3bDmzUw.

Kostenlos war da natürlich gar nichts, außer der Malware selbst. Mittlerweile ist FlixOnline glücklicherweise nicht mehr im Play Store zu finden. Check Point Research informierte zusätzlich zu Google auch Facebook über die Vorfälle. FlixOnline war dabei 2 Monate lang im Play Store zu haben und wurde in dieser Zeit ca. 500 mal heruntergeladen. Das wirkt erst einmal überschaubar. Bedenkt man aber das Agieren wie ein klassischer Wurm, könnten noch mehr Anwender damit konfrontiert worden sein.

Vor allem der Aufbau der Malware sei jedoch bedenklich, wie CPR zu Protokoll gibt: „Die Technik der Malware ist ziemlich neu und innovativ. Sie kann die Verbindung zu WhatsApp kapern, indem sie Benachrichtigungen abfängt. Hinzu kommt die Möglichkeit, definierte Aktionen wie ‚Ablehnen‘ und ‚Antworten‘ über den Notification-Dienst auszuführen. Die Tatsache, dass die Malware so einfach getarnt werden und die Schutzmaßnahmen des Google Play Stores umgehen konnte, gibt Anlass zu ernsthaften Bedenken.“

So rechnen die Sicherheitsforscher dann auch damit, dass die Malware-Familie sich weiterentwickeln und wieder auftauchen dürfte. Falls ihr euch noch mehr im Detail belesen wollt, dann schaut mal in den Blog-Post mit mehr technischen Einzelheiten.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

39 Kommentare

  1. Ein Sicherheitsleck bei Facebook ?
    Unvorstellbar!!! Na ja – die werden bestimmt schnell handeln um die Daten Ihrer Kunden zu schützen.

  2. Sehr clever, Android ist einfach murks.

    • Oliver Müller says:

      Thema verfehlt, der Nutzer gibt der Software explizit Zugriff auf die Daten.

    • Wer so doof ist eine App herunterzuladen, die ein kostenloses Netflix ermöglichen soll, hat nichts anderes verdient. Solche Leute klicken auch auf Links vom nigerianischen Prinzen und geben ihre Kreditkarten-Infos ein.

      Bei der Installation wird angezeigt, dass die App Zugriff auf deine Nachrichten/Notifications bekommt.

      Bei so viel Dummheit ist es egal ob iOS, Android oder sonst ein OS.

  3. Google müßte doch die entsprechenden Nutzer informieren können.
    Sie wissen, wer die Apps geladen hat. Von daher könnte die Nutzer gewarnt werden …?

  4. Es gibt so viel Murks im Playstore, da wundert es leider nicht sehr, „enthält Werbund und In-App-Käufe“ wohin das Auge blickt.

    • Oliver Müller says:

      Werbung und In-App-Käufe gibt es auch in den meisten anderen Stores, nicht nur bei Google. Wenn du die nicht willst, machs wie ich, und beziehe deine Apps aus dem F-Droid Store.

  5. Das „S“ bei Android steht ja bekanntlich für die Sicherheit 😉

    • Oliver Müller says:

      Und das „I“ in „Alex“ steht für Intelligenz. Hättest du den Artikel oder die Kommentare gelesen, hättest du vestanden, dass der Nutzer den Zugriff explizit erlauben muss. Das hat mit Sicherheit genau gar nichts zu tun.

      • Ja-ja.
        Ich musste immer wieder im Familienkreis Andoide säubern und Apps entfernen, die Werbung eingeblendet und/oder SMS verschickt hatten. Und all diese Apps kamen aus dem Android Market / Google Play, sprich wurden von Google freigegeben.
        In der anderen Hälfte der Familie, die iPhones/iPads hat, gab es noch nie so was, auch wenn manche Kiddies Hunderte von Apps auf dem Familien-iPad installierten.

        Mittlerweile erzähle ich keinem, dass ich für Android programmiere, damit man mich nicht mit „kannst du mein Handy anschauen, da ist was“ anspricht, und wenn doch, dann sage ich, dass ich ein iPhone und keine Ahnung von Android habe 😉

        • Oliver Müller says:

          Es gibt genug Beispiele für Malware im Apple App Store, z.B.:

          https://www.heise.de/mac-and-i/meldung/Malware-in-Apples-App-Store-ist-groesseres-Problem-2822170.html
          https://www.wired.com/story/apple-app-store-malware-click-fraud/

          Dass du das also bisher (angeblich) nur von Android kennst sagt genau gar nichts aus, außer, dass du nicht nur von Android keine Ahnung hast, sondern auch von iOS.

          • Lul, die erste „Malware“ (XcodeGhost) hat Daten der aktuellen App abgegriffen (Name und Version der Anwendung, Systemversion, eingestellte Sprache und das Land, Identität des Entwicklers, Installationszeit der App, sowie Gerätename und -typ).

            Bei der zweiten werden von Apps eines Entwicklers Anzeigen unsichtbar geladen, während die App geöffnet und im Vordergrund war.

            Das kann man natürlich total mit dem vergleichen was hier im Artikel beschrieben wird. Wenn eigentliche malware außerhalb des Kontext der App Geräte manipuliert.

            • Oliver Müller says:

              Stimmt, die hier gemeldete Malware ist natürlich deutlich harmloser, denn sie fragt vorher freundlich, ob sie Zugriff auf die Daten erhalten darf.

              • Ach wie nett. Die Malware fragt vorher nach und macht dann doch was anderes. Hier lässt sich noch mit viel Gedankenakrobatik die Verantwortung auf unbedarfte Anwender schieben. In anderen Fällen ist das nicht so:
                https://securelist.com/apkpure-android-app-store-infected/101845/
                Aber die Betroffenen sind wahrscheinlich auch selbst schuld wenn sie Apps aus unbekannten Quellen erlauben.

                • Oliver Müller says:

                  Kalle beweist mal wieder seine Unkenntnis. Die Malware kann nichts anderes machen, weil die Frage vom OS kommt, und das dann nur den angefragten Zugriff erlaubt.

                  Aber beim zweiten Punkt hast du ausnahmsweise mal Recht. Wer vorhandene Sicherheitsmechanismen umgeht, sollte wissen, was er tut, und darf sich dann nicht beschweren, wenn er auf die Nase fällt.

        • Keine Ahnung was deine Familie mit den Geräten so treibt, aber ich bin der der bei uns in der Familie gefragt wird sobald es um Technik geht und Apps die ungefragt SMS versendet haben kamen mir noch nie unter. Werbung wird eben in Gratis-Apps und Spielen geschaltet was auch völlig ok ist. Das einzige was regelmäßig mal vorkam waren Apps die irgendwann einmal installiert wurden und immer wieder mal regelmäßig Pushbenachrichtigungen brachten obwohl sie schon lange nicht mehr genutzt wurden.

  6. Ich hoffe doch stark, dass durch solche Aktionen nicht noch mehr Android APIs beschnitten werden. Die Möglichkeit mit Tasker automatisch auf Benachrichtigungen zu reagieren ist äußerst nützlich.

    Es wurden in den letzten Jahren sowieso schon der Sicherheit zuliebe etliche Schnittstellen abgeschafft.

    • Oliver Müller says:

      Das hoffe ich auch. Wer der Meinung ist, vom Smartphone von der eigenen Dummheit beschützt werden zu müssen, soll sich ein iPhone zulegen.

      • Die Arroganz ist so herrlich. Wie 12 Jährige in der Pubertät

        • Recht hat er aber

        • Oliver Müller says:

          Das ist die Interpretation der Kommentare hier. Apple-Geräte seien sicherer, weil man gewisse Dinge nicht damit tun kann. Man hat einen teuren Computer in der Tasche, der abgesehen von den Telefon-Funktionen nicht viel mehr kann als ein Gameboy. Und das wird einem dann als sicherer verkauft.

          Wie ein Auto, mit dem man nur im Kreis fahren kann. Damit kann ich auch nicht gegen einen Baum fahren, der nicht auf dem Radius des Kreises liegt. Total sicher.

          • Hast Du den Quatsch auf der Troll-Universität gelernt? Was muss ein Smartphone denn können? Und komme mir jetzt nicht mit Root-Access, damit ich irgend eine Datei manipulieren kann. Sondern: Was muss ein Smartphone denn für einen normalen Nutzer können und nicht für jemanden, der einen hohen Nerd-Freak-Faktor hat?

            • Oliver Müller says:

              Kassiker: Per USB anschließen und Dateien (z.B. Musik oder aufgenommene Sprachmemos) rauf- und runterkopieren. Aber schon bei solchen Basics scheitert es bei iOS. Von Dingen wie echte alternative Browser (die nicht Webkit im Hintergrund nutzen), im Hintergrund wirklich weiterlaufende Apps oder Push-Benachrichtigungen bei PWAs fange ich erst gar nicht an.

              Lernt man nicht in der Troll-Universität, sondern wenn man die Geräte einfach mal selber nutzt oder Personen im eigenen Umfeld beobachtet, wie sie bei den einfachsten Dingen verzweifeln.

              • Klassiker: Geht. Anschließen an Mac, PC, USB. Rauf- und runterkopieren. Plus AirDrop. Und wer – Du wirst brüllen ob der Aussage, auch wenn Du mit Google Drive verheiratet bist auf Android – will auch per iCloud ohne Kabel. Welche Apps müssen wirklich im Hintergrund laufen? Push-Nachrichten laufen wie blöd. Und alle, die ich kenne und verzweifeln, verzweifeln an Andoird. Die Apple-Nutzer haben keine Probleme.

                Lernt man, wenn man nicht nur rumlabert, sondern sich mit einem Apple-Gerät mal beschäftigt. Zwar soll jeder nutzen, was er will, Dir gönne ich aber Android. Aber hör auf, immer auf Apple zu hauen. Wenn Du das nicht nutzen willst, dann lasses. Und gib keine Kommentare dazu ab. Vor allem keine so dämlichen.

                • Oliver Müller says:

                  Du hast gefragt, was nicht geht. Ich habe geschrieben, was nicht geht. Und deine Antwort ist, ich soll keine Kommentare abgeben? Bist du schizophren?

                  Versuchs einfach, bevor du dich weiter blamierst. Nimm ein Sprachmemo auf, und kopiere es per USB vom iPhone runter, z.B. mit dem Windows Explorer. Oder kopiere Musik per USB aufs iPhone. Du wirst sehen, es geht nicht.

                  Und nein, ich bin nicht mit Google Drive verheiratet. Auf meinem Smartphone sind keine Google Dienste.

                  Push-Benachrichtigungen bei PWAs funktionieren unter iOS eben nicht.

                  Du hast offensichtlich keine Ahnung, daher EOD von meiner Seite.

                • Habe ein 12 Pro Max und ein iPad Pro und das was du da mit „einfach an PC verbinden und übertragen“ sagst ist derbe gelogen.
                  Ja, Dateiübertragung ist hauptsächlich dank Drittanbieter-Apps (SendAnywhere, Documents by Readdle) deutlich einfacher als es früher der Fall war, aber immer noch so umständlich, dass NIEMAND in meinem Familien und Freundeskreis wusste, wie man Filme oder Videos vom Rechner aufs iPhone überträgt.

                  Nutzt du irgendeine Cloud für Backups? Dann weißt du ja, wozu Hintergrundaktualisierung wichtig ist. Funktioniert auf dem iPhone trotz aller Berechtigungen nie zuverlässig.

            • „Was muss ein Smartphone denn für einen normalen Nutzer können“

              Naja, ein aufgenommenes Video mit Bordmitteln von einem Note 10 Plus auf ein Ipad zu bekommen wäre schon mal ein Anfang. Versuchs mal. Viel Spaß.

      • So kann man sich den traurigen Kern der Geschichte auch schön reden: in Apples App Store wäre diese verbrecherische App mit Sicherheit nicht gelandet. Natürlich gibt’s da auch mal Fehler, aber im Großen und Ganzen kann man dieser Plattform vertrauen, dem Play Store leider nur eingeschränkt und für den Großteil der Anwender sind alternative App Stores eben genau keine Alternative, weil sie diese gar nicht kennen.

        • Oliver Müller says:

          Es gibt genug Beispiele für Malware im Apple App Store. Ich weiß nicht, ob bei iOS eine App die Benachrichtigungen in der Art mitlesen kann, wie das bei Android der Fall ist, aber wie hier schon jemand schrieb, gibt es dafür valide Einsatzzwecke.

          Das ganze „Apple ist sicher“ Geschwurbel kommt direkt aus der PR Abteilung von Apple, und sollte hier nicht pauschal nachgeplappert werden.

      • Ah ja.
        Ich bin auch nicht zu dumm um Kartoffeln von Hand zu schälen, aber ein Schäler spart mir Zeit und Mühe.

        • Oliver Müller says:

          Wenn das eine Apple Kartoffel wäre, könntest du sie nur mit einem Löffel schälen. Weil das sicherer ist.

          • und bei Android wäre sie bereits vergammelt. Um auf Deinem Troll-Niveau zu bleiben….

            • Oliver Müller says:

              Meine „Kartoffel“ hat Stand der Sicherheitsudates von April 2021. Wer bereits die im Laden vergammelte Kartoffel kauft, darf sich halt beim Bauern nicht beschweren.

              Insofern auch hier: Thema verfehlt, setzen, sechs.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.