;Resize=(1200,627)&impolicy=perceptual&quality=medium&hash=66f9bb658cb6ce452cb39287e775b6e05d49cc5035772c0720764693f2dfd48f "Im Google Play Store – Über 90 Android-Apps betroffen: Sicherheitsforscher warnen vor Banking-Trojaner")
Android-Apps, die Sie im Google Play Store deines Smartphones erwarten, sind nicht immer automatisch sicher. Das zeigt ein aktueller Fall.
Android-Apps von Drittanbietern sind nicht immer vertrauenswürdig – und das zu Recht. Denn immer wieder werden Fälle bekannt, in denen sich Trojaner und andere Schadsoftware in vermeintlich nützlichen Apps verstecken. Kriminelle nutzen diese, um das Smartphone auszuspionieren oder sogar an die Zugangsdaten für das Online-Banking zu gelangen.
Anatsa in Android-Apps entdeckt
Weltweit gibt es zahlreiche Sicherheitsexpertinnen und -experten, die das Netz und die verschiedenen App-Stores nach Schadsoftware durchforsten. Auch die Experten von Zscaler ThreatLabz haben sich dieser Aufgabe verschrieben und nehmen insbesondere den Google Play Store unter die Lupe. In den vergangenen Monaten wollen sie dort 90 mit Malware infizierte Apps identifiziert und analysiert haben. Insgesamt seien diese mehr als 5,5 Millionen Mal installiert worden.
Einen besonderen Anstieg habe das Team bei der Nutzung der berüchtigten Malware Anatsa beobachtet. Die Software, die auch unter dem Namen TeaBot bekannt ist, nutzt Dropper-Apps, um ihre schädliche Nutzlast zu installieren. Dropper-Apps sind sozusagen die harmlos wirkende Fassade des Programms. Das können PDF-Reader, QR-Code-Scanner und Ähnliches sein – also Android-Apps, die fast jeder Nutzer und jede Nutzerin früher oder später einmal herunterlädt.
„Anatsa ist eine bekannte Android-Banking-Malware, die es auf die Apps von mehr als 650 Finanzinstituten vor allem in Europa abgesehen hat“, warnt Zscaler. Das Team hat beobachtet, „dass Anatsa aktiv Bank-Apps in den USA und Großbritannien angreift. Jüngste Beobachtungen deuten jedoch darauf hin, dass die Bedrohungsakteure ihre Ziele auf Bankanwendungen in Deutschland, Spanien, Finnland, Südkorea und Singapur ausgeweitet haben“.
So funktioniert Anatsa
Nach der Installation lädt die Banking-Malware Schadcode oder einen gestaffelten Payload von einem Command-and-Control-Server (C2-Server) herunter, der als harmloses Update für die Dropper-App getarnt ist. Dieser strategische Ansatz ermöglicht es der Malware, als Android-App in den offiziellen Google Play Store hochgeladen zu werden und so der Entdeckung zu entgehen.
„Vor kurzem haben wir zwei mit Anatsa in Verbindung stehende Malware-Apps identifiziert, die von Bedrohungsakteuren im Google Play Store verbreitet wurden“, so Zscaler weiter. „Wie so oft gab sich diese Kampagne als PDF-Reader- und QR-Code-Reader-Apps aus, um eine große Anzahl an Installationen zu erreichen.“
Je häufiger eine solche Android-App installiert werde, desto vertrauenswürdiger erscheine sie neuen Nutzerinnen und Nutzern. Auf diese Weise könne sich die Schadsoftware auf immer mehr Smartphones verbreiten. „Zum Zeitpunkt der Analyse hatten beide Apps bereits mehr als 70.000 Installationen erreicht.“
Quelle: Zscaler Blog
Von Philipp Rall
