22-9-2015 Gedruckt am 27-06-2017 aus www.monitor.co.at/index.cfm/storyid/16547

Infizierte Spiele-Apps im Google Play Store

„Candy Crush“ mit Trojaner-Backdoor

Security-Software-Hersteller ESET macht auf einen außergewöhnlichen Angriff auf Android-Nutzer aufmerksam. Cyberkriminelle nutzten Ende 2014 Vollversionen von populären Spiele-Apps wie „Plants vs. Zombies“ oder „Candy Crush“ als Tarnung, um den Trojaner Android/Mapin tief in die mobilen Systeme einzuspeisen.

Auffällig sind die inkonsistenten App-Logos und die absichtlichen Tippfehler. Bild: ESET

Daran besonders heikel: durch eine ausgefeilte Tarnungs-Strategie war die Schadsoftware dazu in der Lage, die automatische Malware-Überprüfung von Google namens „Google Bouncer“ zu umgehen und die Spiele über den offiziellen Google Play Store zu verbreiten. Erst einige Zeit und mehrere Tausend Downloads später entfernte Google die bösartigen Apps aus dem Play Store und verbesserte die Sicherheitsvorkehrungen. Dennoch: die weltweiten ESET Labors registrieren weiterhin Aktivitäten der Malware. Folglich sind sich viele Android-User offenbbar nicht darüber bewusst, dass ihr mobiler Rechner mit bösartiger Software nach sensiblen Daten fischt.
 
Bei den verseuchten Dabeien handelte es sich unter anderem um die folgenden Titel, die teils mit inkonsistenten App-Logos und absichtlichen Tippfehlern im Namen versehen waren:
  • Plants Vs Zombies
  • Plant vs Zombie
  • Temple Run 2 Zoombie
  • USubway Suffer
  • Traffic Racer
  • Super Hero Adventure
  • Candy crush
  • Jewel Crush
  • Racing rivals
 
Die Spiele sind voll funktionsfähig und verleiten das Opfer nicht dazu, einen Verdacht zu schöpfen. Auch dauert es eine Weile bis die schadhaften, an das Spiel geknüpften Funktionen zum Leben erwachen: „Einige Varianten von Android/Mapin benötigen bis zu drei Tage, um den vollen Funktionsumfang des Trojaners zu erhalten. Dies dürfte einer der Gründe dafür sein, dass die integrierte Downloader-Routine dazu in der Lage war, das Google Bouncer-Sicherheitssystem zu umgehen“, kommentiert ESET Malware-Forscher Lukáš Štefanko die Wirkungsweise der Malware.
 
Nachdem die Schadsoftware aktiviert wurde, gibt sie vor, ein Google Play-Update oder eine Applikation namens „Manage Settings“ zu sein und verlangt weit reichende Administrations-Zugriffe, die tief ins System reichen. Bricht der Nutzer die Installation ab, erscheint das Dialogfeld so oft wieder, bis die Änderungen letztlich bestätigt werden – gewährt der Nutzer die erfragten Rechte, wird das infizierte Android-Gerät Teil eines großen Botnetzes, das von den Angreifern aus der Ferne gesteuert werden kann. Die Folge: ungefragter Download sowie Installation von ungewünschten Applikationen, Ausschnüffeln von privaten Daten wie Klarnamen, IMEI-Nummer und Google-Account-Infos, sowie die Anzeige von Vollbild-Werbeanzeigen auf dem infizierten Gerät.

Über 10.000 Downloads

Die befallenen Android-Spiele Apps wurden zwischen dem 24. und 30. November 2013 sowie dem 22. November 2014 in den Google Play Store gestellt. Bevor Google die Schadsoftware aus dem Store entfernte, wurde beispielsweise die gefälschte „Plants vs. Zombies“-App bereits über 10.000 Mal herunter geladen.
 
Um sich bei der Installation von Apps aus dem Google Play Store vor bösen Überraschungen zu schützen, empfiehlt sich stets ein Blick auf die jeweiligen App-Entwickler. Wirken diese wenig vertrauenserweckend, sollte man von einer Installation absehen oder mindestens einen genauen Blick auf die Berechtigungen werfen, die von der App nach der Installation eingefordert werden.