53 schädliche Apps in Googles Play Store
Trend Micro hat im Google Play Store 53 schädliche Apps gefunden, wie zdnet.de dazu berichtete. Mit Hilfe einer Malware gelingt es die Facebook-Anmeldedaten der betroffenen Nutzer zu stehlen. Daneben werden die Nutzer mit der der Einblendung von unerwünschter Pop-up-Werbung genervt. Die Schadsoftware, die als GhostTeam benannt wurde soll schon mehrere hunderttausendmal heruntergeladen worden sein.
Die ersten infizierten Apps sollen bereits seit April 2017 im Umlauf sein. Das bedeutet, dass sie bereits seit neun Monaten in Googles App-Marktplatz kursieren. Versteckt war der schädliche Code in verschiedenen Tools, darunter Apps zur Verbesserung der Performance und zum Speichern von Videos von Sozialen Netzwerken. Besagte App „Download Videos From Facebook“ zählte laut Play Store zwischen 100.000 und 500.000 Downloads.
Wie funktioniert GhostTeam?
Laut Trend Micro prüft GhostTeam auf einem infizierten Gerät zuerst, ob es in einem Emulator oder einer virtuellen Umgebung ausgeführt wird. Die Forscher vermuten, dass so eine Analyse des Schadcodes erschwert werden soll. Sobald festgestellt wird, dass es sich um ein echtes Gerät handelt, versucht GhostTeam seinem Opfer eine gefälschte Version der Google Play Services unterzuschieben. Sie fordert die Rechte eines Geräteadministrators ein, wodurch die Schadsoftware die vollständige Kontrolle über das Gerät erhält.
Öffnet der Nutzer nun noch seine Facebook-App, blendet GhostTeam über den Android WebView Client eine gefälschte Seite zur Überprüfung des Facebook-Kontos ein. Gibt der Nutzer dort seinen Anmeldenamen und das Passwort ein, landen diese Daten auf einem von den Cyberkriminellen kontrollierten Server. Die Masche funktioniert allerdings nur, falls der Nutzer die Authentifizierung in zwei Schritten nicht aktiviert hat.
Der Zweck der Kampagne
Zu welchem Zweck die Facebook-Anmeldedaten gestohlen werden ist den Forschern allerdings noch unklar. Die Vermutung geht dahin, dass die Verbreitung weiterer Schadsoftware oder die Verbreitung von Fake News über Facebook damit möglich ist.
Offenbar um Geld mit Werbeklicks zu verdienen, blendet GhostTeam auch bildschirmfüllende Anzeigen ein, und zwar bevorzugt, wenn der Nutzer mit dem Home-Bildschirm interagiert. Darüber hinaus hält GhostTeam das Gerät aktiv und verhindert das Ausschalten des Bildschirms, indem es im Hintergrund Anzeigen öffnet.
Die Verbreitung der Kampagne
Den Sicherheitsforschern zu Folge ist GhostTeam vor allem in Indien aktiv. Die Zahl der Facebokk-Nutzer liegt hier seit Kurzem noch höher als in den USA. Zahlreiche Betroffene finden sich aber auch in Indonesien, Brasilien, Vietnam, Australien und auf den Philippinen. Zudem vermuten die Forscher einen Bezug der Hintermänner zu Vietnam, da GhostTeam nur dort in der Landessprache agiert – in allen anderen Ländern präsentiert sich die Malware dem Nutzer in englischer Sprache.
Inzwischen wurden die schädlichen Apps aus dem Play Store entfernt. Google wollte sich auf Nachfrage von ZDNet USA nicht zu dem Vorfall äußern. Ein Facebook-Sprecher erklärte, man blockiere die Verteilung solcher Apps, wann immer es möglich sei, und habe Systeme zur Erkennung kompromittierter Konten und Anmeldedaten, so zdnet.de.
Weiterführende Links:
blog.trendmicro.com: GhostTeam Adware can Steal Facebook Credentials
zdnet.de: Play Store: 53 schädliche Apps stehlen Facebook-Anmeldedaten
