Trojaner in Android-Apps mit 5 Mio. Downloads stehlen Facebook-Login-Daten

Sicherheit (Pexels, allgemeine Nutzung)Sicherheitsforscher von Dr. Web sind einer Reihe von Android-Apps im Google Play Store auf die Schlichte gekommen, weil dieses die Facebook-Login-Daten der betreffenden Benutzer abgreifen und an die Entwickler weiterreichen. Die Apps sind nicht so populär, können aber auf über 5 Millionen Downloads blicken. Hier ein grober Überblick zum Thema.


Anzeige

Die Malware-Analysten von Doctor Web sind laut diesem Artikel vom 1. Juli 2021 im Google Play auf bösartige Android-Apps gestoßen, die die Logins und Passwörter von Facebook-Nutzern stehlen. Diese Stealer-Trojaner tarnen sich als harmlose Android-App und wurden mehr als 5.856.010 Mal installiert.Insgesamt wurden zehn dieser Trojaner-Apps, davon die nachfolgenden neu Apps im Google Play gefunden:

  • Eine Fotobearbeitungssoftware namens Processing Photo. Sie wird von Dr.Web Anti-Virus als Android.PWS.Facebook.13 erkannt und wurde von dem Entwickler chikumburahamilton verbreitet. Diese App wurde über 500.000 Mal installiert.
  • Anwendungen, die Zugriffsbeschränkungen für die Nutzung anderer auf Android-Geräten installierter Software ermöglichten: App Lock Keep vom Entwickler Sheralaw Rence, App Lock Manager vom Entwickler Implummet col und Lockit Master vom Entwickler Enali mchicolo – alle wurden als Android.PWS.Facebook.13 erkannt. Sie wurden jeweils mindestens 50.000, 10 und 5.000 Mal heruntergeladen.
  • Rubbish Cleaner vom Entwickler SNT.rbcl – ein Dienstprogramm zur Optimierung der Leistung von Android-Geräten. Es wurde über 100.000 Mal heruntergeladen. Dr.Web erkennt es als Android.PWS.Facebook.13.
  • Astrologie-Programme Horoscope Daily vom Entwickler HscopeDaily momo und Horoscope Pi vom Entwickler Talleyr Shauna, ebenfalls als Android.PWS.Facebook.13 erkannt. Ersteres hatte mehr als 100.000 Installationen, während letzteres mehr als 1.000 Installationen hatte.
  • Ein Fitnessprogramm namens Inwell Fitness, das als Android.PWS.Facebook.14 vom Entwickler Reuben Germaine entdeckt wurde. Es hat mehr als 100.000 Installationen.
  • Eine Bildbearbeitungs-App namens PIP Photo, die vom Entwickler Lillians verbreitet wurde. Seine verschiedenen Versionen werden als Android.PWS.Facebook.17 und Android.PWS.Facebook.18 erkannt. Diese App hat über 5.000.000 Downloads.

Nachdem die Sicherheitsforscher von Doctor Web die Apps an Google gemeldet hatten, wurde ein Teil dieser bösartigen Anwendungen aus Google Play entfernt. Zum Zeitpunkt dieser Meldung waren jedoch einige Apps noch zum Download verfügbar.

(Quelle: Dr. Web)

Bei der Analyse dieser Stealer-Trojaner entdeckten die Sicherheitsforscher eine frühere Modifikation, die unter dem Deckmantel einer Bildbearbeitungssoftware namens EditorPhotoPip über Google Play verbreitet wurde. Diese wurde bereits aus dem offiziellen Android-App-Store entfernt, ist aber immer noch auf Software-Aggregator-Websites verfügbar. Diese Modifikation wurde als Android.PWS.Facebook.15 in die Virendatenbank von Dr.Web aufgenommen.

Während es sich bei Android.PWS.Facebook.13, Android.PWS.Facebook.14 und Android.PWS.Facebook.15 um native Android-Apps handelt, nutzen Android.PWS.Facebook.17 und Android.PWS.Facebook.18 das für die plattformübergreifende Entwicklung konzipierte Flutter-Framework. Trotzdem können sie alle als Modifikationen desselben Trojaners angesehen werden, da sie identische Konfigurationsdateiformate und identische JavaScript-Skripte verwenden, um Benutzerdaten zu stehlen. Weitere Details lassen sich dem Dr. Web-Beitrag entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Trojaner in Android-Apps mit 5 Mio. Downloads stehlen Facebook-Login-Daten

  1. Ärgere das Böse! sagt:

    Der Google-Play-Store ist eine Mal- und Spy-Ware Schleuder. Und das nicht erst seit diesem Ereignis.

  2. ibbsy sagt:

    Verständnisfrage:
    Werden eigentlich nur die Apps aus dem Store geworfen oder werden auch die jeweiligen Entwickler gesperrt/gewarnt/auf eine "besondere Prüfliste" gesetzt? (Wobei da ja unentwegt neue nachwachsen, eh klar)

    Unter "App Lock Keep" steht jetzt Entwickler MichelHopper, der mit noch drei weiteren Apps vertreten ist…

    • 1ST1 sagt:

      Viel wichtiger ist noch die Frage, ob diese Apps dann auch automatisch von den Smartphones deinstalliert werden! Und was ist mit alternativen Appstore wie der von Amazon oder F-Droid?

      • ibbsy sagt:

        Auch damit wäre es nicht erledigt:
        Die Nutzer besagter Apps müssen auch informiert werden, um den abgeflossenen Daten nachzuspüren, Facebook-Accounts zu ändern/löschen etc.
        Kaum einer von den Anwendern wird hier oder bei Dr. Web mitlesen, den Verlinkungen im Text folgen und wissen, was zu tun ist!

      • Alfred Neumann sagt:

        Hatten wir in der letzten Zeit ja schon öfter: Die Apps werden aus dem Store genommen aber nicht von den Geräten entfernt.

      • Günter Born sagt:

        Bei Google Play Protect sollten die Apps beim Scan deinstalliert werden. Es sei denn, die Apps haben es geschafft, Persistenz zu erlangen. Bei alternativen App-Stores sind die Leute "at your own" – imho.

    • Günter Born sagt:

      Wenn ich es richtig verstanden habe, wurden nicht alle Entwickler und Apps gebannt, da wohl irgend ein Framework infiziert war. Die haben das dann unbewusst mit eingebaut.

Schreibe einen Kommentar zu ibbsy Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.