SharkBot-Trojaner im Play Store – Risiko "Antivirus-Apps"

[English]Im Google Play Store ist erneut der Banking-Trojaner SharkBot aufgetaucht und hat sich als Antiviren- und Cleaner-App getarnt. Sicherheitsforscher von CyberNews schreiben: Android-Nutzer sollten es sich zweimal überlegen, bevor sie kostenlose Apps zur Reinigung ihres Mobiltelefons und zum "Schutz" vor Viren herunterladen – denn viele von ihnen enthalten Daten-Tracker und einige scheinen sogar Links zu potenziell bösartigen Domains zu beinhalten.


Anzeige

SharkBot-Trojaner im Play Store

Fox-It hatte bereits im Februar 2022 den SharkBotDropper im Google Play Store entdeckt. Der Trojaner gab sich als gefälschter Android-Antivirus und -Reiniger aus. Nun haben die Sicherheitsforscher eine neue Version dieses Droppers im Google Play Store entdeckt.

Mister Phone Cleaner - SharkBot Trojan

Dieser neue Dropper verlässt sich nicht auf die Zugriffsrechte, um die Installation des Sharkbot-Malware-Droppers automatisch durchzuführen, heißt es von den Sicherheitsforschern. Stattdessen fordert diese neue Version des Trojaners das Opfer auf, die Malware als gefälschtes Update für das Antivirenprogramm zu installieren, um vor Bedrohungen geschützt zu bleiben.

Kylhavy Mobile Security - SharkBot Trojan

Die Sicherheitsforscher haben zwei SharkbotDopper-Apps im Google Play Store gefunden, die jeweils 10.000 und 50.000 Mal installiert wurden. Die fraglichen Apps „Mister Phone Cleaner" und „Kylhavy Mobile Security" verfügen zusammen über 60.000 Installationen und zielen primär auf Anwender in Großbritannien, Italien, Spanien, Australien, Polen, Deutschland, den USA und Österreich.

Die wesentliche neue Erkenntnis besteht darin, dass die beiden Angriff-Apps einen weniger ausgeklügelten Ansatz als die zuvor festgestellten SharkBot-Aktivitäten verwenden, um einer Erkennung im Play Store zu entgehen. Aus dem Play Store wird eine "saubere" App als "Phone Cleaner" installiert. Erst später wird ein "Update eines Antivirus-Pakets" vorgeschlagen. Die Cyberkriminellen verlassen sich darauf, dass der Benutzer die Installation des schädlichen Pakets unwissentlich zulässt, anstatt es mit einer automatischen Installation auf dem Gerät des Anwenders zu versuchen. Sie Cyberkriminellen hoffen damit zu verhindern, dass der Code des Angriffsprogramms näher überprüft wird.

Zusätzlich dazu, dass sie relativ wenig bösartigen Code enthalten, nutzen diese Apps auch Lokalisierungsprüfungen, um sich unauffällig zu verhalten. Die Versuche, das bösartige Paket abzulegen, werden auf jene Geräte beschränkt, die dem eigentlichen Profil des Opfers entsprechen. Hank Schless von Lookout warnt daher aktuell auch vor Angriffen auf Android-Smartphones mit dem Banking-Trojaner SharkBot.

Wir sehen ein erneutes Auftreten der SharkBot-Malware. Es hat den Anschein, dass die Akteure hinter dieser Malware weiter die Absicht haben, Bankdaten und Kundeninformationen zu stehlen, während sie ihre Aktivitäten auf Banken in weiteren Ländern ausdehnen. Durch die beiden fraglichen, verdeckten Apps und das SharkBot-Malware-Paket selbst sind nun auch Nutzer in den erwähnten Ländern gefährdet.

Lookout schreibt dazu: Anwender von mobilen Geräten sollten niemals Apps herunterladen, die nicht in Google Play oder dem iOS App Store angeboten werden. Aber wie diese beiden erwähnten Angreifer-Apps beweisen, kann Malware die Sicherheitsmechanismen von Apple und Google umgehen. Anwender sollten deshalb alle Aufforderungen zur Installation oder Aktualisierung von Paketen aus anderen unbekannten Quellen ablehnen. Wenn man von einer App aufgefordert wird, sie zu aktualisieren, ohne zum offiziellen Play Store weitergeleitet zu werden, sollte man ihr auf keinen Fall trauen. Der neue Fall von SharkBot verweist auch darauf, wie sich Malware weiterentwickelt und mit weiter entwickelten Funktionen wieder neu auftauchen kann.


Anzeige

Risiko Antiviren- und Cleaner-Apps

Abseits des obigen Banking-Trojaners lauert generell die Gefahr in Apps, dass diese schädliche Funktionen beinhalten. Die Information ist mir bereits im Mai 2022 von Cybernews zugegangen.  Sicherheitsforscher von CyberNews haben 40 Reinigungs- und Antiviren-Apps, die im Google Play Store am häufigsten installiert wurden, untersucht. Dabei haben sie herausgefunden, dass kostenlose Reinigungs- und Antiviren-Apps ihre Nutzer dem Risiko eines Hackerangriffs aussetzen.

  • Nahezu alle untersuchten Apps enthielten Tracker, wobei die Anzahl von einer Handvoll bis zu dreißig im Fall von Nova Security variierte.
  • Schockierenderweise waren nur Super Antivirus und Virtual Guard völlig frei von Datenverfolgung, was ernsthafte Datenschutzbedenken für Android-Nutzer von kostenlosen Reinigungs-Apps aufwirft.
  • 13 der Apps wurden als so schädlich für die Privatsphäre eingestuft, dass sie aufgrund "fragwürdiger Codierungspraktiken" im Sicherheits-Ranking des Teams die niedrigste Note erhielten.
  • Am besten schnitt die Antiviren-App Keep Cleaner ab, die nur 54 von 100 möglichen Punkten für die Sicherheit erhielt.
  • Auf dem letzten Platz landete der Safe Security Antivirus Booster und Phone Cleaner mit einer miserablen Note von neun.

Die Ergebnisse sind besonders besorgniserregend, wenn man bedenkt, dass die beiden genannten Apps jeweils mehr als 100 Millionen registrierte Downloads haben.

Warum ist die Verwendung kostenloser Reinigungs-Apps gefährlich?

Viele der kostenlos erhältlichen Optionen haben einen versteckten Preis: Nutzerdaten werden nachverfolgt, verkauft oder aufgrund fragwürdiger Kodierung und Datenschutzpraktiken der Anwendungsentwickler schlichtweg unsicher verwaltet. Android-Nutzer sollten es sich zweimal überlegen, bevor sie kostenlose Apps herunterladen, um ihr Mobiltelefon zu reinigen und vor Viren zu "schützen" – denn viele von ihnen enthalten Daten-Tracker und einige scheinen sogar Links zu potenziell bösartigen Domains zu haben, so das Forschungsteam von Cybernews, die ihre Erkenntnisse hier (Stand August 2022) veröffentlicht haben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu SharkBot-Trojaner im Play Store – Risiko "Antivirus-Apps"

  1. mw sagt:

    Kostenlose, nicht Open Source Apps, sind verdächtig. Grundsätzlich sind die Nutzer bei F-Droid besser aufgehoben als dem Play-Store.

  2. Gui Do sagt:

    Noch zu erwähnen ist, dass sämtliche Antivirus/Cleaner Apps absolut sinnfrei sind.
    1. "Cleanen" macht das System vollautomatisch und ist nicht durch eine extra App nötig.

    2. Durch das Sandboxing-System für Apps kann erstens eine App nur eigene Daten lesen/bearbeiten und somit zweitens eine sog. Antivirus-App gar nichts machen, da für sie das gleiche gilt. Falls was auf dem Gerät passieren sollte, dann A) durch Softwarefehler im System selbst, die durch Apps ausgenutzt werden können (deshalb sind regelmäßige Updates nötig), oder B) der Nutzer installiert selbst irgendwas nach zig Warn-Meldungen ("Könnte gefährlich sein – wollen Sie das wirklich, WIRKLICH, tun?!")

    Das Problem liegt auch darin, dass die meisen Nutzer ein Handy kaufen und (kein Vorwurf) keine Ahnung haben, wie es grundlegend funktioniert. Und dann schnappen sie irgendwo in den Clickbait mainstream Medien was auf, dass Android ja sooo unsicher wie Windows wäre und man genau wie dort Virenscanner, Cleaner, Optimierer und sonstwas bräuchte. Sind eben von jahrzehntelanger Windows-Konditionierung geprägt. (Wobei gesagt werden muss, dass man mit ein bisschen Ahnung auch ein Windows (ab Pro-Version) sicher einrichten und nutzen kann.)

    Deshalb die Bitte an dich, Günter: Wenn du soche Artikel schreibst, gehe doch bitte auch auf diese Punkte ein und schreibe nicht einfach alles ab, was du im Netz findest, sondern gehe auch auf die Hintergründe ein. Und gib bitte sinnvollere Tipps als die (falsche) Binsenweisheit, Apps nur aus dem Playstore zu installieren (wie man sieht, schlüpfen da genug böswillige Apps durch.)

  3. Martin sagt:

    Ich finde es wirklich erschreckend, wenn ich mich so durch die Virenscanner-Apps klicke – und die renommierten nehme ich da ausdrücklich nicht aus. Ich fand nur einen Anbieter, welcher direkt den Preis seiner App angibt (GDATA mit 9,99 €). Aller anderen forden dann sicherlich nach der Installation mehr oder weniger ständig und mehr oder weniger aufdringlich zum Kauf auf, womit man eben auch erst dann den Preis erfährt. Klar, man muss dann nicht kaufen, aber dann hat man wohl einen sehr eingeschränkten Schutz und wenn man den Preis vorher gewusst hätte, hätte man vielleicht gar nicht erst installiert, weswegen sie es eben genau so machen.

    Bei einigen hört die aufdringliche Werbeflut auch nach dem Kauf nicht ganz auf und man bekommt weitere Produkte oder Upgrades angeboten. Außerdem wird die Datensammelei und Auswertung nach dem Kauf vermutlich nicht weniger. Die Hersteller nehmem mit was zu holen ist. Das ganze Smartphone-System ist doch einzig und alleine dazu geschaffen worden, eine Werbe-, Datensammel- und Verkaufsplattform zu sein, also schlichtweg um die Nutzer auszunehmen.

    Schaut man sich die Angaben zum Datenschutz an, wird einem echt schlecht. Darunter eben auch die ganz großen Anbieter. Bullguard macht erst gar keine Angaben. Immerhin mehr oder weniger ehrlich, denn dann kann man sich seinen Teil denken. Vermutlich wollen sie einfach nicht lügen. Denn weiß man, ob das, was die anderen angeben, dem tatsächlichen Umfang entspricht, oder ob da nicht das ein oder andere absichtlich "vergessen" wurde? Beim Durchklicken war Eset da noch am genügsamsten. Womöglich auch deshalb, weil sie beim Schutz auf dem Desktop vor einiger Zeit einen Datenschutzrüffel bekamen. Ich glaube, es war von Stiftung Warentest.

    • Ralf S. sagt:

      "Das ganze Smartphone-System ist doch einzig und alleine dazu geschaffen worden, eine Werbe-, Datensammel- und Verkaufsplattform zu sein, also schlichtweg um die Nutzer auszunehmen."

      Stimmt!
      Vor allem ist es ein SEHR wichtiger Baustein (wenn nicht sogar DER wichtigste + die diversen Daten der ganzen "coolen" IoT-Geräte) für die zukünftige Totalüberwachung der Bürger. Diverse "Nutzerdaten" wurden ja im Echtzeittest während der Pandemie schon mehrfach "erfolgreich ausgewertet". Natürlich "anonym" – versteht sich … ;-) Irgendwann dann halt nicht mehr anonym. Wenn z. B. mal wieder "Verbrechensbekämpfung" und andere diverse "sinnvolle Maßnahmen" dies rechtfertigen … (Die nächste – wohl noch schlimmere – Krise steht ja gerade in den Startlöchern …)

      Das angesprochene "ausnehmen" geht zwangsläufig einher mit einer riesigen Datensammelei. Und diese Daten werden wiederum benötigt, um demnächst das komplette Profil eines jeden Bürgers zu erstellen. Natürlich nicht nur in D, sondern EU-weit und irgendwann dann wohl auch weltweit. Alles soll mit allem verknüpft werden, so dass die Gläsernheit irgendwann perfektioniert ist. Interessant sind diesbzgl. auch immer wieder solche Aussagen (auch hier) zu lesen, wie "wer heute noch kein Smartphone hat, ist doch selbst schuld – kein Mitleid mit solchen Zukunftsverweigerern!" usw. Denke immer öfters, dass diese Smartphoneverweigerer eher weniger schuld sind, als viel mehr recht schlau – also "smart", nur eben ohne "Phone" …

      Ja, auch ich habe ein Schlauphone und nutze diverse Dienste … ;-) Wenn auch nach dem Motto: So wenig wie möglich und nur so viel wie absolut nötig.

Schreibe einen Kommentar zu mw Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.