Obwohl wir vor Kurzem über den Fund von 20 Fake-Apps in Google Play berichtet haben, die als Modpacks für Minecraft getarnt sind – die beliebtesten Apps wurden über eine Million Mal heruntergeladen – taucht immer noch Schadsoftware unter dem Deckmantel von Minecraft in Google Play auf. Anstatt den angebotenen Service zu liefern, verwandeln diese schädlichen Apps die Smartphones der Benutzer in Tools für extrem aufdringliche Werbung.
Anders ausgedrückt, sind die Apps aus der Benutzerperspektive vollkommen nutzlos. Nachdem die App zum ersten Mal geöffnet und geschlossen wird, verschwindet ihr Symbol aus dem Menü des Smartphones. Die App bleibt jedoch auf dem Smartphone und arbeitet im Hintergrund auf Hochtouren: Sie öffnet den Browser und beginnt mit dem Anzeigen von Werbung. Diese Fake-Apps können sogar Videos von YouTube abspielen, Seiten auf Google Play öffnen und vieles mehr. Beispielsweise öffnete die von uns untersuchte Version automatisch alle zwei Minuten ein Browserfenster mit Werbung, wodurch das Handy quasi unbenutzbar gemacht wird. Am lästigsten an dieser Schadware ist, dass die meisten Benutzer große Schwierigkeiten haben herauszufinden was genau passiert ist, welche App dafür verantwortlich ist und wie sie dem Ganzen Einhalt gebieten können.
Wir haben Google über unsere Entdeckung informiert und die Apps wurden schnell aus dem Store entfernt.
Neue Versionen von schädlichen Apps
Die Tatsache, dass die Apps aus Google Play gelöscht wurden, bedeutet allerdings nicht das Ende der Schadware. In der Vergangenheit haben Entwickler ihre Malware nur leicht geändert und dann versucht die Version mit neuem Namen über ein anderes Entwicklerkonto zu veröffentlichen.
Ein Beispiel für recycelte Schad-Apps ist der VK Music-Trojaner, der die Log-in-Daten der Nutzer von VKontakten auslesen kann. Obwohl Google Play über den Vorfall informiert wurde, trieb sich der als App getarnte Trojaner noch viele Jahre in Google Play herum.
Angesichts dessen haben wir den Fall der schädlichen Minecraft-Modpacks in Google Play erneut überprüft, um herauszufinden, ob unsere Berichterstattung nützlich war. Wir begaben uns also auf die Suche nach ähnlichen Apps … und haben einige gefunden.
Neue und verbesserte Versionen
Zuerst fanden wir einige Apps, die nach dem oben erklärten Ansatz erneut in Google eingeschleust wurden, und zwar mit einigen Verbesserungen. Normalerweise akzeptieren diese Apps Push-Nachrichten-Kommandos von den Angreifern. Sie dienen zum Anzeigen von Vollbildwerbung. Außerdem können die Apps ein zusätzliches Modul herunterladen. Durch das heruntergeladene Modul auf dem Handy stehen mehr Funktionen zur Verfügung: Das App-Symbol ausblenden, einen Browser starten, YouTube-Videos abspielen, Seiten auf Google Play öffnen usw.
In diesem Fall enthielt die Liste von kompromittierten Apps, abgesehen von den Minecraft-Mods, ein Datenrettungsprogramm mit dem Namen File Recovery – Recover Deleted Files. Die Version 1.1.0, die bis Februar 2021 auf Google Play heruntergeladen werden konnte, verfügte über eine schädliche Payload. Diese Version wurde entfernt und durch die neue, sichere Version 1.1.1 ersetzt.
Vereinfachte Versionen mit bezahlten Abos in Google Play
Wir haben auch einige Modpacks mit ähnlichen Grundfunktionen gefunden – eine Konfigurierung, die es ermöglicht hin und wieder einige Vollbildwerbungen anzuzeigen, sogar wenn die App inaktiv ist. Das App-Symbol ausblenden, den Browser, YouTube oder Google Play starten können diese Apps allerdings nicht. Dafür wird die Funktion In-App-Käufe verwendet, um mehr Geld einzubringen.
Interessanterweise steht derzeit eine App als „Basic-Version“ im Store zur Verfügung, bei der die In-App-Käufe aktiviert sind, obwohl dieselbe App vor einigen Monaten noch mit dem herunterladbaren Modul funktionierte. Daraus schlossen wir, dass die Betreiber der schädlichen App weiter mit verschiedenen Möglichkeiten experimentieren, um mehr Geld herauszuholen.
Version zum Diebstahl von Facebook-Konten
Zusätzlich zu diesen Apps, haben wir auch einige weitere Apps gefunden, dessen Hauptfunktion nicht mit den oben beschriebenen schädlichen Funktionen übereinstimmt. Bis vor nicht allzu langer Zeit war eine gefälschte Version von der Werbenetzwerk-App Madgicx sowie eine Fake-App für Werbeverwaltung in TikTok auf Google Play verfügbar, die kontinuierlich nach den Facebook-Anmeldedaten des Benutzers fragt und die Zugangsdaten stiehlt, sobald die Daten eingegeben werden.
Apps von alternativen Stores
Oft können schädliche Apps auf alternativen Stores heruntergeladen werden, noch lange nachdem sie auf Google Play entfernt wurden. Das ist nicht überraschend, denn selbst Google, mit weit mehr Ressourcen als durchschnittliche Unternehmen, schafft es nicht immer die riesige Menge an Apps zu kontrollieren. Wir wollten diese Tatsache trotzdem hier erwähnen, weil es ein klarer Beweis dafür ist, das alternative Apps-Stores nicht sonderlich sicher sind. Möchten Sie diese Art von App-Stores aus irgend einem Grund trotzdem verwenden, ist es ratsam einen zuverlässigen Virenscanner für Smartphones zu installieren, um sich vor gefährlichen Apps zu schützen.
Wie wir aus diesem Vorfall und vielen anderen Vorfällen, bei denen Malware in den offiziellen App-Store von Google geschleust wurde, lernen können, ist es immer besser das Smartphone mit einem effektiven Virenscanner zu schützen, selbst wenn Sie Ihre Apps nur in Google Play herunterladen.