ESET: Kriminelle missbrauchen seriöse App aus dem Play Store

Thomas Uhlemann
ESET Security Specialist Thomas Uhlemann. (Foto: ESET)

Jena – Vor einer besorgniserregenden Entwicklung warnt jetzt ESET. Im Google Play Store haben die Forscher des europäischen Herstellers von Sicherheitslösungen erstmals eine App entdeckt, die von Kriminellen gezielt gekapert worden ist, um sie für ihre Zwecke zu missbrauchen. Ursprünglich dient die App «QRecorder» Android-Nutzern dazu, Anrufe aufzeichnen – mithilfe eines manipulierten Updates können Hacker damit jedoch heimlich die Banking-Daten ihrer Opfer ausspähen.

Durch die App verschaffen sich die Angreifer einen Fernzugriff auf Mobile-Banking-Anwendungen der Android-Nutzer. Die ESET-Experten gehen davon aus, dass mehrere zehntausend Nutzer im in der Schweiz, in Deutschland, in Österreich, in Polen und in der Tschechischen Republik potenziell gefährdet sind. «Wir konnten feststellen, dass die ursprünglich legitime Anwendung trojanisiert wurde», berichtet Thomas Uhlemann, Security Specialist bei ESET. «Unsere Analyse zeigt, dass eines der letzten Updates die App in Malware verwandelt hat. Jetzt sorgt sie dafür, dass ein gefährlicher Code in die Android-Geräte eingespielt wird», so Uhlemann weiter.

Unbemerkte Überweisung per Fernzugriff
Einmal auf dem Smartphone aktiv, wartet die Malware nach Erkenntnissen der Sicherheitsexperten auf einen verschlüsselten Befehl vom C&C-Server des Angreifers, um in Aktion zu treten. Auf diesen Befehl hin durchsucht die Malware das befallene Gerät nach Anwendungen wie Banking-Applikationen, aus denen sie auf Kosten des Opfers Kapital schlagen können. Unbemerkt vom Nutzer wird ein Modul auf das Smartphone geladen. Es bewirkt, dass sich ein unsichtbarer Layer auf die Zielanwendung – zum Beispiel die Mobile Banking App – legt. Dadurch können die Hacker die Anmeldeinformationen des Benutzers einfach abgreifen.

Darüber hinaus erhalten die Angreifer auch Zugang zu den Textnachrichten, die der am häufigsten verwendete zweite Sicherheitsfaktor für die Authentifizierung bei Finanztransaktionen ist. Somit können die Kriminellen per Fernzugriff ungehindert Geld vom Bankkonto des Opfers überweisen, ohne dass der Anwender etwas von diesen Transaktionen bemerkt.

Wie sich potenzielle Opfer schützen können
Mit dieser Manipulation hat mobile Cyberkriminalität eine neue Gefahrenstufe erreicht. «Nutzer können nicht länger sicher sein, dass eine vermeintlich nützliche App aus einer seriösen Quelle tatsächlich harmlos ist», bringt es Uhlemann auf den Punkt. Dabei ist es dem Experten zufolge bislang völlig unklar, wie die Angreifer die Kontrolle über die App erlangen konnten, die zuvor vollkommen harmlos war. Die ESET-Sicherheitssoftware kann die Bedrohung mit dem Namen Android/Spy.Banker.AIX bereits während des Installationsprozesses der Anwendung entdecken und blocken.

Inzwischen bietet Google Play eine aktualisierte Version der QRecorder-Anwendung (Autor: PA Production, Anwendungs-ID: com.abc.callvoicerecorder) an, die nach Einschätzung der Security-Forscher keine Gefahr mehr darstellt. Die Originalversion des QRecorders (Autor: NickBaze, Anwendungs-ID: com.apps.callvoicerecorder) hat Google entfernt, nachdem es von ESET über die Schadsoftware informiert wurde.

Sicherheitsexperte Uhlemann geht jedoch davon aus, dass Cyberkriminelle auch künftig Wege finden werden, seriöse Apps zu manipulieren. «Anwender sollten ihre Verantwortung nicht aus der Hand geben», so sein Rat. Neben der Installation einer mobilen Sicherheitslösung zähle dazu auch aufmerksam zu bleiben, welche Zugriffsrechte eine installierte App fordere. (ESET/mc/ps)

ESET an der «it-sa»
Der Security-Software-Hersteller ESET stellt auf der IT-Security Messe «it-sa» in Nürnberg (9. bis 11. Oktober 2018) sein aktuelles Portfolio der Generation 7 für Mittelstand und Grossunternehmen vor. Am eigenen Stand in Halle 9, Stand-Nummer 9-326, präsentiert der Branchenprimus zudem seine neuen Lösungen für «Endpoint Detection and Response» (EDR) und «Dynamic Threat-Defence» erstmals dem Publikum. Beide verstärken den Schutz vor APT- und Zero-Day-Angriffen. Am Dienstag, 9. Oktober 2018, veranstaltet ESET zudem den «ESET Congress» mit verschiedenen Fachvorträgen zu aktuellen Sicherheitsfragen. Für weitere Informationen besuchen Sie: https://www.eset.com/ch-de/lp/it-sa/

Über ESET
ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 110 Millionen Benutzern hilft, sichere Technologien zu geniessen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 200 Ländern und Niederlassungen u.a. in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie https://www.eset.com/ch-de/.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.