Neue ExpensiveWall Android Malware im Google Play Store, 4,2 Millionen Geräte betroffen

Unschöne Bescherung, Sicherheitsforscher haben erneut mit Malware verseuchte Apps im Google Play Store entdeckt. Diese verschickt Premium SMS oder geht kostenpflichtige Abos ein. Es sind wohl 4,2 Millionen Geräte betroffen.


Anzeige

Die Meldungen über schädliche Android-Apps, die Googles Sicherheitsmechanismen umgehen und den Weg in den Google Play Store finden, häufen sich in letzter Zeit. Sicherheitsforscher von Check Point sind nun auf einen neuen Fall gestoßen, und haben diesen im Blog-Beitrag ExpensiveWall: A dangerous 'packed' malware on Google Play that will hit your wallet dokumentiert (danke an Leon für den Hinweis).

ExpensiveWall in 50 Apps

Das Team für mobile Bedrohungen von Check Point hat die neue Variante, ExpensiveWall getaufte, Android-Malware identifiziert. Diese sendet betrügerische Premium-SMS-Nachrichten und belastet die Nutzerkonten der Android-Geräte für Fake-Dienste, ohne dass die Benutzer dies mitbekommen. Die böse Überraschung kommt, wenn die nächste Abrechnung für das Google Konto eintrifft oder das Guthaben aufgebraucht ist.

Laut der Auswertung der Google Play-Daten sind mindestens 50 Apps durch die Malware infiziert. Diese Apps wurden zwischen 1 und 4,2 Millionen Mal heruntergeladen. Nachdem Check Point Google informierte, wurden betroffenen Apps entfernt.

ExpensiveWall ist eine Lovely Wallpaper-Variante

Der neue Malware-Stamm wird nach einer der Apps, mit denen Geräte infiziert wurden, als "Lovely Wallpaper" bezeichnet:"ExpensiveWall ist eine neue Variante einer Malware, die Anfang des Jahres bei Google Play gefunden wurde. Die gesamte Malware-Familie wurde inzwischen zwischen 5,9 und 21,1 Millionen Mal heruntergeladen.

Lovely Wallpaper-Malware
(Lovely Wallpaper-Malware Quelle: Check Point)

Der Unterschied zu den anderen Mitgliedern der Malware-Familie von ExpensiveWall besteht darin, dass es "gepackt" ist. Zudem wird eine fortschrittliche Verschleierungstechnik einsetzt, die von Malware-Entwicklern zur Verschlüsselung von bösartigem Code verwendet wird. Durch diese Obfuscation-Technik  konnten die die integrierten Anti-Malware-Schutzfunktionen umgangen werden.

Malware durch Google entfernt

Check Point meldete Google am 7. August 2017 den Befall diverser Apps durch die ExpensiveWall-Malware. Die betreffenden Apps wurden unverzüglich durch Google aus dem Play Store entfernt.

Doch selbst nachdem die betroffenen Apps entfernt wurden, fand innerhalb weniger Tage eine weitere infizierte App den Weg in den Google Play Store und infizierte mehr als 5.000 Geräte, bevor es vier Tage später durch Google entfernt wurde.


Anzeige

Check Point schreibt, dass infizierte Apps, die vor der Deinstallation aus dem App Store installiert wurden, immer noch auf den Geräten der Benutzer installiert sind. Anwender, die diese Apps heruntergeladen haben, sind daher weiterhin gefährdet und sollten sie manuell von ihren Geräten entfernen. Hier wundere ich mich etwas, da Google Play Protect und Android eigentlich in der Lage sein sollten, die Apps automatisch zu deinstallieren.

Was macht ExpensiveWall genau?

Die Malware registriert die Opfer ohne ihr Wissen bei kostenpflichtigen Premium-Diensten und versendet betrügerische Premium-SMS-Nachrichten, indem sie die Konten der Android-Geräte für diese gefälschten Dienste belastet.

Dazu fordert ExpensiveWall nach dem Download mehrere allgemeine Berechtigungen, einschließlich Internet-Zugang, an. Obwohl diese Berechtigungen im Kontext der Malware schädlich sind, fordern viele Android-Apps genau solche Berechtigungen für legitime Zwecke an. Die meisten Benutzer erteilen diese Berechtigungen ohne nachzudenken, besonders wenn sie eine App von einer vertrauenswürdigen Quelle wie Google Play installieren.

Die Berechtigungen erlauben es den infizierten Apps, sich mit ihrem C&C-Server zu verbinden. Die ExpensiveWall-Komponente enthält eine Schnittstelle, die zwischen In-App-Aktionen und dem JavaScript-Code, der auf einer Web-Oberfläche namens WebView ausgeführt wird, eine Verbindung herstellt. Nachdem die infizierte App installiert und die erforderlichen Berechtigungen erteilt wurden, sendet ExpensiveWall Daten über das infizierte Gerät an seinen C&C-Server, einschließlich seines Standorts und eindeutiger Identifikatoren wie MAC- und IP-Adressen, IMSI und IMEI.

Die Berechtigungen ermöglichen auch, SMS-Benachrichtigungen zu empfangen und Premium-SMS-Nachrichten zu verschicken. Mit den Berechtigungen können die Geräte im Namen des Benutzers für andere kostenpflichtige Dienste registriert werden. Das alles erfolgt, ohne dass der Benutzer etwas davon erfährt bzw. mit bekommt. Erst die nächste Abrechnung offenbart das Problem.

Warum ist die TeuerMauer gefährlich?

Während ExpensiveWall derzeit nur zur Erzielung von Profit durch Abzocke der Gerätenutzer konzipiert ist, könnte eine ähnliche Malware leicht modifiziert werden. Diese könnte die gleiche Infrastruktur verwenden, um Bilder zu erfassen, Audio aufzunehmen und sogar sensible Daten zu stehlen und die Daten an einen C&C-Server (Command and Control) zu senden.

Da die Malware in der Lage ist, unentdeckt im Hintergrund zu arbeiten, finden alle illegalen Aktivitäten ohne das Wissen des Opfers statt. Der ExpensiveWall-Ansatz stellt quasi den Baukasten für den ultimative Spionagewerkzeuge dar. Weitere Details sind dem Check Point-Beitrag zu entnehmen.

Abschließende Gedanken

Android Geräte bekommen oft keine Updates, weisen aber gravierende Sicherheitslücken auf. Die BlueBorne-Lücke (siehe BlueBorne-Sicherheitslücke in Android, Linux, Windows …) dürfte auf Millionen Android-Geräten ungefixt sein. Und es scheint, als ob Android und der Google Play Store immer mehr zur Malware-Schleuder verkommen. Fast wöchentlich gibt es Meldungen über infizierte Apps. Für Android-Nutzer lässt sich nur folgendes raten: Bluetooth abschalten und sich nur auf einige wenige Apps von Google sowie bekannteren Herstellern beschränken. Was mich ärgert: Dass man die vorinstallierten Google-Apps nicht deinstallieren kann. Wer braucht das vergurkte Hangouts? Wozu braucht es die YouTube-App, deren Update alle möglichen Berechtigungen will? Android war mal eine großartige Wette auf die Zukunft – aber Google hat es, im Verein mit den Android-Geräteherstellern, erfolgreich kaputt gemacht.

Schaut man sich nach Alternativen um, wird es mau. Windows als Mobile-Plattform? Ein Schuss in den Ofen, Microsoft kann es nicht und will es nicht können. BlackBerry hat den Zug der Zeit verschlafen. Beim iPhone und iOS hüpft man in einen goldenen Käfig und muss dazu noch saftige Eintrittspreise für die Geräte zahlen. Aber unter Sicherheitsaspekten scheint mir diese Plattform momentan das kleiner Übel (obwohl bei Apple auch Sicherheitslücken bei iCloud & Co. an der Tagesordnung sind).


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit, Virenschutz abgelegt und mit Android, ExpensiveWall, Google Play Store, Malware verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Neue ExpensiveWall Android Malware im Google Play Store, 4,2 Millionen Geräte betroffen

  1. Harald L. sagt:

    Das erste was man für jede Mobilfunknummer aktivieren sollte ist eine Drittanbietersperre beim Provider. Dann ist nix mehr mit Premium-SMS-Senden oder aus Versehen ein Abo abschließen. Bei der Telekom z.B. kann man diese Sperre seit einiger Zeit selbst im Browser über das Kundencenter gezielt konfigurieren, also beispielsweise generell gesperrt aber gewünschte einzelne Anbieter erlauben die man tatsächlich braucht. Früher mußte man die Hotline anrufen oder in den T-Punkt um die Sperre einrichten zu lassen.

  2. Alex sagt:

    Wiedermal bestätigt sich, nicht das beste und sicherste system hat sich durchgesetzt.
    Schade das Windows Mobile so wenig Unterstützung bekam.

Schreibe einen Kommentar zu Alex Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.