Hinter den scheinbar harmlosen Apps aus dem offiziellen Google Play Store verbirgt sich oft Malware verschiedenster Art. Leider gelingt es den Moderatoren auch bei sorgfältiger Überwachung der Plattform nicht immer, solche Apps zu entdecken, bevor sie veröffentlicht werden. Eine der beliebtesten Varianten dieser Art von Malware sind Abo-Trojaner, die sich ohne das Wissen des Nutzers für kostenpflichtige Dienste anmelden. Wir haben bereits über die häufigsten Familien dieser Art von Trojanern berichtet. In diesem Beitrag geht es um einen weiteren Trojaner dieser Spezies. Er ähnelt dem Jocker Trojaner – weshalb er den Namen Harly, der (leicht abgewandelte) Name des Handlangers eines bekannten Comic-Bösewichts, trägt. Beide Trojaner haben vermutlich einen gemeinsamen Ursprung.
Harly-Trojaner im Überblick
Mehr als 190 mit Harly infizierte Apps wurden seit 2020 bei Google Play gefunden. Die Zahl der Downloads dieser Apps wird vage auf 4,8 Millionen geschätzt, die tatsächliche Zahl könnte jedoch viel höher sein.
Wie Jocker imitiert auch die Trojaner-Familie Harly legitime Anwendungen. Aber wie genau funktioniert das? Betrüger laden eine normale App von Google Play herunter, fügen ihr Schadcode hinzu und laden sie dann unter einem anderen Namen erneut im Google Play Store hoch. Im Anschluss hat die App vermutlich noch immer die in der Beschreibung angegebenen Funktionen, weshalb der Nutzer höchstwahrscheinlich rein gar nichts von einer möglichen Bedrohung ahnt.
Die meisten Mitglieder der Jocker-Familie sind mehrstufige Downloader und erhalten die Nutzlast von den C&C-Servern der Betrüger. Trojaner der Harly-Familie hingegen enthalten die gesamte Nutzlast innerhalb der App und verwenden verschiedene Methoden, um sie zu entschlüsseln und auszuführen.
So funktioniert der Abo-Trojaner Harly
Nehmen wir als Beispiel die App namens com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), eine Taschenlampen-App, die bereits mehr als 10.000 Mal bei Google Play heruntergeladen wurde.
Beim Start der Anwendung wird eine fragwürdige Bibliothek geladen:
Die Bibliothek entschlüsselt die Datei aus den Ressourcen der Anwendung.
Interessanterweise haben die Autoren der Malware gelernt, mit den Programmiersprachen Go und Rust umzugehen, aber bisher beschränken sich ihre Fähigkeiten auf das Entschlüsseln und Herunterladen des bösartigen SDK.
Wie andere Abo-Trojaner auch, sammelt Harly Informationen über das Gerät des Benutzers, insbesondere über das Mobilfunknetz. Wechselt das Gerät des Nutzers zu einem Mobilfunknetz, fordert der Trojaner eine Abo-Liste vom C&C-Server mit den Diensten an, die abonniert werden sollen.
Da der Trojaner nur mit thailändischen Betreibern funktioniert, überprüft er zunächst die MNCs (Mobile Network Codes: eindeutige Betreiberkennungen), um sicherzustellen, dass es sich um einen thailändischen Anbieter handelt.
Als Test-MNC verwendet er jedoch den Code von China Telecom – 46011. Dies und andere Hinweise deuten darauf hin, dass die Entwickler der Malware in China ansässig sind.
Der Trojaner öffnet die Abo-Adresse in einem unsichtbaren Fenster, fügt ein JS-Skript ein, gibt die Telefonnummer des Benutzers ein, drückt die gewünschten Tasten und gibt den Bestätigungscode aus einer Textnachricht ein. Dadurch wird der Nutzer zu einem zahlenden Mitglied, ohne es zu merken.
Ein weiteres auffälliges Merkmal dieses Trojaners ist, dass er Abos abschließen kann, obwohl der Prozess durch einen Telefonanruf geschützt ist. In diesem Fall ruft der Trojaner eine bestimmte Nummer an und bestätigt das Abonnement einfach selbst.
Unsere Produkte identifizieren schädliche Apps wie die hier beschriebene als Trojan.AndroidOS.Harly und Trojan.AndroidOS.Piom.
So schützen Sie sich vor Abo-Trojanern
Offizielle App-Stores kämpfen ständig gegen die Verbreitung von Malware, aber wie wir sehen, sind sie nicht immer erfolgreich. Bevor Sie eine App installieren, sollten Sie zunächst die Nutzerbewertungen lesen und die Rezensionen auf Google Play überprüfen. Natürlich sollten Sie bedenken, dass Kritiken und Bewertungen nicht immer der Wahrheit entsprechen. Damit Sie nicht auf diese Art von Malware hereinfallen, empfehlen wir Ihnen die Installation einer eine zuverlässige Sicherheitslösung.