Malware in Android Apps am Beispiel von GriftHorse

[English]Hinter dem elften Türchen des Security Adventskalenders steckt das Thema Android Malware. Eigentlich könnte ich fast jeden Tag über mit Malware infizierte Apps schreiben. Heute mal ein einige Tage zurückliegender Fall zur sogenannten GriftHorse-Malware, die mehr als 10 Millionen Geräte weltweit infiziert hat.


Anzeige

Benutzer von Android laufen mehr und mehr Gefahr, mit dem Download von Apps aus dem Google Play Store oder alternativen App-Stores Malware auf das System zu holen. Vor einigen Tagen hatte ich den Fall einer Barcode Scanner-App, die Webseiten sporadisch öffnete im Blog beschrieben (siehe Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten). Aber es gibt gefährlichere Malware für Android, die mit Apps auf die Geräte kommt.

Beispiel GriftHorse-Malware

Es ist schon einige Wochen her, seit ich auf Twitter den nachfolgenden Tweet mit einer Warnung vor dieser Android-Malware gesehen habe. Einige Details sind in diesem Artikel beschrieben.

GriftHorse Android Malware

Der Sicherheitsanbieter Zimperum hat die betreffende Android-Malware in verschiedenen Apps entdeckt. Die Zimperium-Forscher Aazim Yaswant & Nipun Gupta, die die GriftHorse-Malware seit Monaten verfolgten, bezeichneten das Ganze als "eine der am weitesten verbreiteten Kampagnen, die das zLabs-Bedrohungsforschungsteam im Jahr 2021 gesehen hat".

Die Sicherheitsforscher gehen davon aus, dass die Hintermänner der GriftHorse-Malware mehr als 10 Millionen Android-Geräte in über 70 Ländern infiziert haben. Die Schätzung der Einnahmen dieser Bande beläuft sich auf 1,5 bis zu 4 Millionen Dollar pro Monat. Der Schaden geht in die Hunderte Millionen Euros.

Forensische Untersuchungen des Android-Trojaner-Angriffs mit GriftHorse deuten darauf hin, dass die Bedrohungsgruppe diese Kampagne seit November 2020 durchgeführt hat. Diese bösartigen Anwendungen wurden zunächst sowohl über den Google Play Store als auch über Anwendungsstores von Drittanbietern verbreitet.

Diese bösartigen Android-Anwendungen erscheinen harmlos, wenn man sich die Beschreibung im Store und die angeforderten Berechtigungen ansieht. Dieses ändert sich jedoch, wenn den Nutzern Monat für Monat die Kosten für den Premium-Dienst in Rechnung gestellt werden, den sie ohne ihr Wissen und ihre Zustimmung abonniert haben.

  • Installieren Nutzer die mit GriftHorse infizierten Android-Apps beginnt der Trojaner Popups und Benachrichtigungen zu gewonnenen Preisen und Sonderangebote zu nerven.
  • Nutzer, die auf diese Nachrichten tippen leitet der Trojaner auf Webseiten um, auf denen die Telefonnummer zur Annahme des Angebots zu bestätigen ist.
  • Mit der Eingabe der Telefonnummer melden sich die Nutzer jedoch für Premium-SMS-Dienste an, die über 30 € (35 $) pro Monat kosten und durch die GriftHorse-Gang abgegriffen wird.

Zimperium zLabs hat seine Funde an Google gemeldet, und die bösartigen Apps wurden inzwischen aus dem Google Play Store entfernt. Die bösartigen Anwendungen sind jedoch immer noch in ungesicherten App-Repositories von Drittanbietern verfügbar, so dass das Risiko des Sideloadings von Anwendungen auf mobile Android-Endgeräte weiterhin besteht. Details und eine Liste der betroffenen Apps finden sich bei Zimperum in diesem Blog-Beitrag. Inzwischen gibt es die App Defense Allicance, die sich um die Sicherheit von Apps kümmert (siehe diesen Zimperium-Artikel).


Anzeige

Was hilft gegen solche Infektionen

Früher habe ich immer argumentiert, dass man möglichst nur Apps aus dem Google Play Store laden solle, weil dann Google prüft und auch Google Play Protect dafür sorgt, dass solche Apps nicht auf die Endgeräte der Benutzer kommen. Aber dies funktioniert offensichtlich nur sehr unzureichend. Aktuell können Android-Nutzer nur folgende Möglichkeiten nutzen, um das Risiko zu minimieren:

  • Beschränken der Zahl der Apps, die auf den Geräten installiert werden und sich dabei auf bekannte Entwickler stützen.
  • Auf die Installation von Apps aus Drittanbieter-Stores möglichst verzichten – und die .apk-Downloads vor einer Installation auf Virustotal prüfen lassen.
  • Die Apps durch eine Sicherheits-App diverser Anbieter wie Malwarebytes etc. auf dem Android-Gerät scannen lassen. Bei bekannten Schädlingen werden die Apps oft ausgewiesen.

Und zum Schluss gilt: Die Augen offen halten, ob das Gerät ungewöhnliche Aktivitäten entwickelt (es wird warm, der Akku ist plötzlich schnell leer, Android reagiert träge, es werden Links geöffnet etc.). Vor allem nicht auf Links in Benachrichtigungen reagieren, die Angebote oder Gewinne versprechen, und dann persönliche Daten eingeben.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit Android, App, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Malware in Android Apps am Beispiel von GriftHorse

  1. nook sagt:

    Da fühle ich mich im F-droid store seit langem doch richtig sicher.
    Die gegenüber "G" sehr wenigen apps sind etwas überschau- und kontrollierbarer, wobei open source auch kein Freibrief für Sauberkeit ist!

    • Mance sagt:

      Ich habe F-droid jetzt mal von http://www.f-droid.org heruntergeladen und installiert. Eine Frage hätt' ich i. M. noch; was hat es mit der PGP-Signatur auf sich bzw. was ist da zu tun?

      • Mance sagt:

        Scheint ja kein einfaches Thema zu sein:

        *ttps://forum.f-droid.org/t/apk-verification-instructions/6047

        *ttps://forum.kuketz-blog.de/viewtopic.php?t=7090

        *ttps://files.gpg4win.org/doc/gpg4win-compendium-de.pdf

  2. andreas sagt:

    Den Rat, auf Drittanbieterstores möglichst zu verzichten, kann ich so nicht nachvollziehen. Solange die Quelle seriös ist, ist sie erstmal nicht besser oder schlechter als der PlayStore.

    Ich setze z.B. wo immer möglich auf F-Droid, wo die Apps neben Open-Source-Quellen auch keine Trackerbibliotheken integriert haben.

    • Günter Born sagt:

      Deine Ausführungen sind korrekt für Leute, die a) wissen, was der F-Droid-Store ist und auch den Lebensweg der gewünschten App verfolgen. Da aber nur sehr wenige Leute genau auf diesem Stand sind, halte ich meine Empfehlung aufrecht. Denn es gibt ja zig Android-App-Stores neben Google Play Store und F-Droid. Und es gibt zig Webseiten mit Downloads der .apk-Dateien.

    • Zocker sagt:

      Leider ist F-Droid nicht so benutzerfreundlich (z.B. Updateverhalten), weshalb ich den Playstore für den normalen Nutzer für den besseren halte. Abgesehen davon gibt es auch bei F-Droid unerwünschte Merkmale wie Tracker.

      https://f-droid.org/de/docs/Anti-Features/

      Nichtsdestotrotz ist F-Droid definitiv eine Empfehlung für fortgeschrittenere Nutzer.

      • Mika sagt:

        "Abgesehen davon gibt es auch bei F-Droid unerwünschte Merkmale wie Tracker."

        Vielleicht hab ich Deine Aussage ja falsch verstanden, aber:

        Nicht bei der F-Droid-App selbst, wohl aber im F-Droid-Angebot. Die Anzeige der betroffenen Apps wird jedoch standardmäßig (!) ausgeblendet, will man diese Apps trotzdem angezeigt bekommen: Einstellungen -> "Apps mit unerwünschten Merkmalen" einschalten.

        ————————————————————————

        Da ich pers. kein Google-Konto habe (und auch keins möchte), nutze ich für "elementare" Apps, die ich bei F-Droid nicht bekomme (z.B. die Apps von meinem Mobilfunk- oder Stromanbieter) den Playstore-Ersatz "Aurora Store" (auch bei F-Droid), um diese runterladen zu können. Alles andere auf meinen Smartphones und Tablets hab ich von F-Droid, bin langjähriger, zufriedener "Kunde".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.