Mehr als 33 Android Apps mit ‘Clicker’-Trojaner infiziert

Sicherheitsforscher haben einen Clicker-Trojaner in mehr als 33 Android-Apps gefunden. Die Apps wurden im Google Play Store angeboten und wurden von Android-Nutzern über 100 Millionen Mal heruntergeladen.


Anzeige

Entdeckt wurde der 'Clicker'-Trojaner (Android.Click.312.origin) von Sicherheitsforschern des russischen Sicherheitsspezialisten Dr. Web. Es gibt auch Modifikationen dieses Trojaners, wie z.B. Android.Click.313.origin. Der Trojaner wurde in harmlosen Android-Apps wie Audioplayer, Barcodescanner, Wörterbücher, Schrittzähler etc. integriert. Alle Apps konnten aus dem Google Play Store heruntergeladen werden. Um keinen Verdacht zu erregen, wird der Trojaner erst 8 Stunden nach dem ersten Start der App aktiv.

Nach dem Start verbindet sich Android.Click.312.origin mit dem Befehls- und Steuerungsserver unter https[://}alb.bear******.com/service/find?token= und sendet ihm eine POST-Anfrage mit den folgenden Informationen über das mobile Gerät:

  • Hersteller und Modell;
  • Betriebssystemversion;
  • Land des Benutzers und die Standardsystemsprache;
  • User-Agent Kennung;
  • Mobilfunkbetreiber;
  • Art der Internetverbindung;
  • Anzeigeparameter;
  • Zeitzone;

sowie Daten über die Anwendung, die den Trojaner enthält. Als Reaktion darauf erhält der Trojaner bestimmte Befehle und neue Module zur Ausführung. Installiert der Benutzer eine neue App über den Play Store oder von einem APK-Installer auf dem infizierten Gerät, sendet der Trojaner Informationen und technische Daten über das Gerät und die neu installierte App an seinen Control-Server. Dieser schickt URLs zurück, um diese in einem Browser, einem unsichtbaren WebView oder im Play Store zu öffnen.

So kann der Trojaner je nach Einstellung des Command and Control Servers und den Anweisungen, die er sendet, nicht nur Anwendungen auf Google Play bewerben, sondern auch verdeckt alle Websites laden, einschließlich Werbung (auch Videos) oder andere zweifelhafte Inhalte. Bleeping Computer hat hier noch einige Informationen zu diesem Thema veröffentlicht. In diesem Artikel sowie bei Dr. Web findet sich die Liste der infizierten Android-Apps.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Mehr als 33 Android Apps mit ‘Clicker’-Trojaner infiziert

  1. Herr IngoW sagt:

    Welche App's sind betroffen ist für Nutzer eine wichtige Frage.
    Was die App's tun ist zwar interessant, aber wenn man nicht weis welche es sind kann man eher nichts dagegen tun.

    • Günter Born sagt:

      Letzter Satz: In diesem Artikel sowie bei Dr. Web findet sich die Liste der infizierten Android-Apps.

      • Herr IngoW sagt:

        Ok hab ich gesehen, sind die Ordnernahmen aufgeführt.
        Da muss man auf dem Smartphone einbischen suchen.
        Der App-Name wäre bischen einfacher oder ist der unterschiedlich?

        • nook sagt:

          Der appname ist enthalten, zumindest ein Teil davon, selten der Entwickler / Hersteller o.ä. Ein Bezug zu den letzten "eigenen" Downloads sollte sich daraus immer geben.

          com.a13.gpslock = GPS Fix
          com.a13softdev.qrcodereader = QR Code Reader
          com.aitype.android = A.I.type Keyboard Free
          com.crics.cricketmazza = Cricket Mazza Live Line

          English Urdu Dictionary Offline
          com.dictionary.englishurdu =
          play.google.com/store/apps/details?id=com.dictionary.englishurdu&hl=gsw

      • Sem sagt:

        Dort findet sich aber leider nur eine Liste ohne die Namen der Apps. Insofern ist der link für "ordinäre Android-Otto-Normal-User" ziemlich unnütz.

        Ansonsten hätte ich das mal dem ein oder anderen meiner Bekannten/Verwandten zur Warnung weitergeleitet. Schade.

        (ich selber mache über Android-Geräte ohnehin einen Bogen).

  2. woodpeaker sagt:

    Ach ja, die heile und sichere Welt von Google….
    Die könnten bei Virus Total ihr bester Kunde sein.

    • RUTZ-AhA sagt:

      "Ach ja, die heile und sichere Welt von Google…."

      Unkritisch Gläubige sterben niemals aus.

      "Die könnten bei Virus Total ihr bester Kunde sein."

      Diese geballte Scannerarmada findet leider auch nicht alles, da schlüpft noch zu viel durch.

  3. Lukas sagt:

    QR Code Scanner hatte ich installiert auf meinem alten Gerät – weder aber dr.web noch kaspersky hat was gefunden.

    Ist aber schon länger her als ich es installiert habe.

Schreibe einen Kommentar zu RUTZ-AhA Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.