Die Variante “ExpensiveWall (Trojan.AndroidOS.ExpensiveWall)”
Sicherheitsexperten von Check Point erkannten die neue Variante der Malware-Familie, die bereits Anfang des Jahres erstmals in verschiedenen Apps im Play Store aufgetaucht sind, wie blogbotfrei.de dazu berichtete.
Die gesamte Malware-Familie soll zwischenzeitlich bis zu 21,1 Millionen Mal über diverse Apps auf die Android-Geräte heruntergeladen worden sein. In mindestens 50 Android-Apps im Play Store wurde die neue Variante geortet. Das Umgehen der Sicherheitsmaßnahmen von Google gelingt der Malware mittels der Verschleierungs- und Verschlüsselungstechnik namens “packed”.
Die Funktion der SMS-Malware
Nutzer, die die infizierte App geladen und entsprechende Berechtigungen erteilt haben, ermöglichen über den erteilten Zugang zum Internet, SMS-Nachrichten zu senden. Die Malware ist nun in der Lage, persönliche Daten des Nutzers und Geräteinformationen auszuspionieren. Wird ein Gerät in Betrieb genommen beginnt der Datenaustausch der App mit einem C&C-Server. Sie empfängt eine URL, die sie in einem eingebetteten WebView der App öffnet. Diese aufgerufene Seite enthält schädlichen JavaScript-Code, der u.a. in In-App-Funktionen über ein Javascript-Interface aufgerufen werden kann. So ist es möglich, dass im Hintergrund unbemerkt kostenpflichtige Premium-SMS-Dienste registriert und zudem über ausgeführte JavaScript-Codes stummes Klicken (Clickbaiting) auf Links von Werbeanzeigen initiiert werden. Das kann zu Kosten bis 10 Euro pro Woche führen.
Google wurde über die infizierten Apps bereits am 7. August informiert, danach wurden diese aus dem Play Store entfernt. Ein paar Tage später wurde eine weitere infizierte App hochgeladen, die einige Tage später wieder entfernt wurde. In der Zwischenzeit wurde die App 5.000 Mal heruntergeladen, so blog.botfrei.de.
Check Point Warnung
Die App muss manuell entfernt werden. Dazu gehört u.a. die App namens “Lovely Wallpaper“.
Komplette Übersicht: Liste der Paketnamen und Downloads
Achtung: Während “ExpensiveWall” derzeit nur dazu gedacht ist, von seinen Opfern zu profitieren, könnte eine ähnliche modifiziert Malware selbige Infrastruktur nutzen, um Bilder und Audio aufzunehmen oder sensible Daten zu stehlen. Die Malware ist in der Lage im verborgenen, also ohne Wissen seines Opfers, im Hintergrund des Gerätes zu arbeiten und verwandelt damit das infizierte Gerät zum ultimativen Spionageinstrument.
Blogbotfrei rät
Beachten Sie folgende vier Grundregeln!
- Achten Sie beim Download von Apps auch aus dem Goolge Play-Store auf die Bewertungen, diese können schon ein Indikator für dubiose oder schadhafte Apps sein
- Installieren Sie Apps nur aus seriösen Quellen, zur Sicherheit deaktivieren Sie auf dem Android unter Einstellungen-> Anwendungen-> das Laden von Apps aus “Unbekannten Quellen”
- Achten Sie darauf, welche Berechtigungen Sie gewähren, in der Regel muss der Benutzer die Installation selbst genehmigen
- Installieren Sie als Grundschutz eine Antiviren-Lösung auf dem Android-Gerät (z.B. den Botfrei EU-Cleaner Mobile von GData)
Weitere Tipps vom Botfrei-Team:
- Halten Sie die Firmware des Gerätes immer aktuell.
- Installieren Sie auf dem Smartphone eine Antiviren Software
- Installieren Sie Apps nur aus seriösen Quellen, zur Sicherheit deaktivieren Sie auf dem Android unter Einstellungen-> Anwendungen-> das Laden von Apps aus “Unbekannten Quellen”
- Seien Sie misstrauisch bei unbekannten E-Mails/ SMS mit eingebetteten Links bzw. mit dubiosen Anhängen
- Prüfen Sie kritisch bei der Installation von neuen Apps, ob die geforderten Berechtigungen angemessen sind, wenn Sie sich nicht sicher sind, sollten Sie die App nicht installieren.
Wenn Sie damit nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.
Weiterführende Links:
blog.checkpoint.com: ExpensiveWall: A dangerous ‘packed’ malware on Google Play that will hit your wallet
blog.botfrei.de: Google entfernt wieder 50 Apps aus dem Play Store
