Download now direkt zur Malware
Besucher des türkischen alternativen App-Stores CepKutusu.com, die eine Anwendung herunterladen wollten, wurden getäuscht. Der „Download now“-Button führte zu einer Banking Malware, anstelle der bestrebten App. Die Malware-Aktivität wurden nur ein paar Wochen später, als sich die ESET-Forscher an die Betreiber der Internet-Seite wandten, eingestellt, wie welivesecurity.com dazu berichtete.
Damit die Malware-Betreiber möglichst lange unbemerkt operieren konnten, schufen sie ein 7-Tage-Fenster, indem einem Opfer kein weiterer schädlicher Downloadlink angeboten wurde. In der Praxis funktioniert das über ein spezielles Cookie. Nachdem ein User einen infizierten Download startet, verhinderte das Cookie ein weiteres Herunterladen von Schadsoftware. Stattdessen werden nun saubere Downloadlinks für sieben Tage ausgegeben. Nach Ablauf der Frist erhält der User dann wieder die kompromittierten Downloadlinks.
Die Banking-Malware App
Wie die Analysen der ESET-Forscher zeigten verwiesen während des Untersuchungszeitraums alle Downloadlinks zu einer ferngesteuerten Banking-Malware App. Die Anwendung ist in der Lage:
- SMS-Nachrichten abzufangen und zu versenden
- gefälschte Aktivitäten anzuzeigen
- andere Apps herunterzuladen und zu installieren
Die installierte Malware versucht gar nicht erst, die vom User eigentlich gewollte Anwendung zu imitieren. Stattdessen ahmt sie den Flash Player nach.
Lukáš Štefanko, Malware-Forscher bei ESET. Er ist spezialisiert auf Android Malware und entdeckte den Malware-verbreitenden App-Store zu erst. Er kommentierte unter anderem dazu:
„Zunächst einmal war es das erste Mal, dass ich einen kompletten kompromittierenden Android App-Store gesehen habe. In der Windows-Umgebung sind mir solche Techniken bekannt. In der Android-Umgebung stellt das einen ganz neuen Angriffs-Vektor dar.“
„Misstrauen erweckt vor allem die Tatsache, nicht die bestrebte Anwendung zu bekommen, sondern mit dem Flash Player zu enden. Das erklärt vielleicht auch, wieso wir bloß ein paar hundert Kompromittierungen feststellen konnten.“
Wie schütze ich mich gegen Malware-Apps?
Empfehlungen von Štefanko:
- Insofern möglich, sollten Anwendungen immer über offizielle App-Stores heruntergeladen werden. Das wiederholen wir immer wieder, aus gutem Grund. Alternative App-Stores bieten keine Sicherheitsgarantie. Deswegen schaffen diese Webseiten optimalen Raum für Malware-Entwickler, die ihre Schadsoftware verbreiten wollen. Das gelingt den Cyber-Kriminellen nicht nur mit Hilfe einzelner Apps, sondern über verschiedene Anwendungen auch massenhaft.
- Beim Herunterladen von Inhalten aus dem Internet ist generell Vorsicht geboten. Wichtige Hinweise auf irgendwelche Unregelmäßigkeiten bieten Dateiname, Dateigröße und Dateiendung – Anhand dieser Attribute können Bedrohungen immer noch am schnellsten entdeckt und vermieden werden.
- Eine veritable Mobile Security ist auch für Smartphones zu empfehlen. Diese schützt gegen die neusten Bedrohungen. Die versteckte Bedrohung aus dem alternativen App-Store CepKutusu.com enttarnt ESET als Android/Spy.Banker.IE und verhindert eine Kompromittierung.
Weiterführende Links:
welivesecurity.com: Türkischer alternativer App-Store verteilte Banking-Malware
