Google Play Store: Malware auf 620.000 Geräten installiert

Sicherheitsforschern von Kaspersky ist es gelungen, Schadsoftware aufzuspüren und Google darauf aufmerksam zu machen. Die betroffenen Apps (Beauty Slimming. Photo Editor, Photo Effect Editor, GIF Camera Editor etc.) wurden inzwischen entfernt. Offensichtlich haben die Schutzmaßnahmen von Google im Play Store nicht gegriffen. Die Schadsoftware in den Foto- und Wallpaper-Apps – von den Entdeckern „Fleckpe” getauft – war seit 2022 aktiv. Im Google Play Store wurden elf mit Fleckpe infizierte Apps gefunden, die auf mehr als 620.000 Geräten installiert waren.

Wenn die vom Nutzer geladene App startet, lädt sie eine stark verschleierte native Bibliothek, die einen bösartigen Dropper enthält, der eine Nutzlast aus den App-Assets entschlüsselt und ausführt. In Kurzform: Die App versuchte einen unsichtbaren Webbrowser auszuführen und versuchte, im Namen des Benutzers ein Abonnement abzuschließen. Wenn dazu ein Bestätigungscode erforderlich war, holte sich die Malware diesen aus den Benachrichtigungen (auf die beim ersten Durchlauf zugegriffen werden musste). Nachdem der Trojaner den Code gefunden hat, gibt er ihn in das entsprechende Feld ein und schließt den Anmeldevorgang ab. Das Opfer fährt fort, die legitimen Funktionen der App zu nutzen, z. B. Hintergrundbilder zu installieren oder Fotos zu bearbeiten, ohne zu wissen, dass es einen kostenpflichtigen Dienst abonniert hat.

Große Sorge müssen Nutzer hierzulande wohl nicht haben. Die Forscher fanden heraus, dass der Trojaner hartkodierte thailändische MCC- und MNC-Werte enthielt, die offenbar zu Testzwecken verwendet wurden. Thailändisch sprechende Nutzer dominierten die Bewertungen für die infizierten Apps bei Google Play. Dies veranlasst zu der Annahme, dass diese spezielle Malware auf Nutzer aus Thailand abzielte, obwohl die Telemetrie zeigte, dass es auch Opfer in Polen, Malaysia, Indonesien und Singapur gab.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

6 Kommentare

  1. > Beauty Slimming. Photo Editor, Photo Effect Editor, GIF Camera Editor etc

    Die klingen alle nicht so als bräuchten sie eine Internetberechtigung.

    Die Internetberechtigung lässt sich aber in Stock-Android (wie auch in iOS) nicht abschalten. … was auch smart erscheint. Es ist naheliegend, dass Google/Apple durch universellen Internetzugriff in ihrem App-Ökosystems mehr Geld verdienen können.

    …und Geld ist Apple/Google schon natürlich viel wichtiger als Privatsphäre und Kontrolle durch die Nutzer. 😀

    • Mit NetGuard (gibt’s auch auf F-Droid kann man die Internetberechtigung einschränken (und Werbung und Tracker pro App blockieren). Das App braucht kein root. Dafür gibt sich die App als VPN aus, leider geht dann kein echtes VPN mehr (aber Tor geht).

    • Selten solch einen Blödsinn gelesen.

      • Gibst Du uns eine bessere Begründung, warum praktisch alles blockiert werden kann – ausser der Verbindung, die zum Nachladen von Werbung und Tracking nötig ist? Da fällt mir persönlich nichts anderes ein als Googles Geschäftsmodell.
        Es sagt ja keiner, dass sie vorsätzlich Malware unterstützen, aber sie verhindern „so nebenbei“, dass der Nutzer das kann.

  2. Und ich dachte Android wäre auf Milliarden von Geräten installiert #scnr

  3. „Slim“ heisst „schlank“. Siehe Slim Fit Jeans, das ist auch keine Schrumpelhose.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.