Google Play Store: Sicherheitsforscher entdecken weiterhin infizierte Apps
Die Sicherheitsforscher von Check Point haben erneut infizierte Apps im Google Play Store gefunden. Mehrere Anwendungen waren betroffen und enthielten den Malware-Dropper Clast82. Darüber wurde dann auf infizierte Geräte nachträglich die Malware AlienBiot Banker geschaufelt. Über jene ließen sich durch Kriminelle Smartphones komplett übernehmen.
Eine ausführliche, englischsprachige Erläuterung mit allen technischen Details könnt ihr hier direkt bei Check Point Research finden. Versteckt war Clast82 in Utility-Apps, die recht unterschiedliche Funktionen angeboten hatten. Sie sollten vermeintlich zur Aufzeichnung von Bildschirminhalten oder auch für VPN-Verbindungen herhalten. Clast82 ist vor allem darauf ausgelegt, Hackern einen Zugang zu den Bankdaten des Opfers zu verschaffen. Da kommt eben AlienBot Banker ins Spiel, denn diese Malware kann die Zwei-Faktor-Authentifizierungen von Bankkonten umgehen.
Dabei handelt es sich um eine „Malware-as-a-service“, die im Darknet gemietet werden kann. Gleichzeitig ist Clast82 selbst mit einem Mobile Remote Access Trojan (MRAT) ausgerüstet, der über die Anwendung TeamViewer die Kontrolle über das Smartphone ermöglicht. Der zugreifende Hacker kann das Smartphone dann kontrollieren, als hätte er es selbst in der Hand. Googles Play Protection wurde hier vollständig umgangen. Das wurde erreicht, indem via Firebase die Konfiguration der Malware für die Prüfung durch Play Protection vorübergehend geändert wurde.
Aktuell ist unklar, wie viele Nutzer die schädlichen Apps genutzt haben und von Angriffen betroffen gewesen sind. Google hat die infizierten Anwendungen mittlerweile aus dem Play Store entfernt.
Hier die schädlichen Applikationen, die im Google Play Store waren:
- Cake VPN – com.lazycoder.cakevpns
- Pacific VPN – com.protectvpn.freeapp
- eVPN – com.abcd.evpnfree
- BeatPlayer – com.crrl.beatplayers
- QR/Barcode Scanner MAX – com.bezrukd.qrcodebarcode
- Music Player – com.revosleap.samplemusicplayers
- tooltipnatorlibrary – com.mistergrizzlys.docscanpro
- QRecorder – com.record.callvoicerecorder
GitHub diente dabei als Plattform für die Zusatz-Malware: Die Angreifer haben für jede infizierte App ein neues Entwickler-Konto im Google Play Store erstellt, begleitend zu einem passenden Speicher im GitHub-Konto. Das ermöglichte es ihnen, verschiedene Nutzlasten an infizierte Smartphones zu schicken, je nachdem, mit welcher App sie infiziert wurden. Unschöne Sache, die unterstreicht, dass man selbst im Play Store vorsichtig damit sein sollte, was man sich herunterlädt. Am besten man prüft im Zweifelsfall, ob es sich um einen vertrauenswürdigen Entwickler handelt.
Symantec hat in seiner App auch noch die Funktion, mit der Apps im Google Play Store auf ihre Vertrauenswürdigkeit hin geprüft werden. Einerseits bin ich froh, dass ich diese zusätzliche Sicherheit habe. Andererseits halte ich es auch für die Aufgabe von Google, solche Apps erst gar nicht in den Store gelangen zu lassen. Gab es so einen Fall schon mal bei Apple?
Google prüft halt nicht ausreichend genug und winkt (gefühlt) einfach alles durch.
Bei Apple ist das Prüfverfahren viel strenger. Natürlich gab ähnliche Vorfälle aber die sind extrem selten und schnell entfernt.
https://www.zdnet.de/88371837/17-apps-in-apples-app-store-mit-trojaner-verseucht/
https://www.sir-apfelot.de/apple-laesst-schon-wieder-mac-malware-in-den-app-store-31337/
Dabei soll ja laut Google ausgerechnet die alleinige Benutzung des Google Play Store vor Malware schützen!
Das beweist aber nur eines – das Google bei vielen Dingen blos massiv mit Nebengranaten wirft und real nichts dahinter ist!
„Am besten man prüft im Zweifelsfall, ob es sich um einen vertrauenswürdigen Entwickler handelt.“
Das nützt einem leider wenig wenn dieser das Projekt irgendwann aufgibt oder verkauft und der neue Besitzer nicht mehr so Ehrenhaft ist. Man müsste also regelmäßig prüfen ob die Entwickler aller Apps die man so hat vertrauenswürdig sind, bzw. ob diese sich geändert haben. Sehr mühselig und kaum zu bewältigen für Otto-Normal-Verbraucher. Selbst als Technik-Freak bist du da ne ganze weile beschäftigt.
Könnte ja Google netterweise für seine Nutzer machen. Ich stelle mir das so vor, dass wenn Änderungen am Entwicklerkonto / Kontoverbindung / Namen / etc. gemacht werden, dass der Entwickler sich erneut authentifizieren muss. Und wenn festgestellt wird, dass die App den Eigentümer gewechselt hat, dann wir der Nutzer informiert. Man könnte auch Heuristiken wie Entwickleraktivität, Updatezeiträume, Orte von denen Zugriff erfolgt, etc. auswerten um Veränderungen zu erkennen.
Come on, das ist Big Data. Braucht mir doch keiner erzählen, dass man so etwas nicht rauskriegen kann.
An was erkennt man eigentlich einen „vertrauenswürdigen Entwickler“?
Die Frage kann Dir wohl niemand beantworten, am wenigsten wohl die „Sicherheitsforscher“.
Am ehesten helfen da der gesunde Menschenverstand und das Lesen der Bewertungen……. auffallend viele sehr gute Bewertungen bei eigentlich total unbekannten Apps (mir sind die Apps noch nicht untergekommen)……da sollten die Alarmglocken schrillen.
Wenn’s kein großer Player ist, dann gar nicht. Früher gab’s mal das Web of Trust, das hätte helfen können. Leider war es zu kompliziert für den Normalbürger.