Eine neue Reihe von trojanisierten Apps, die sich über den Google Play Store verbreiten, wurde beobachtet, wie sie die berüchtigte Joker-Malware auf kompromittierten Android-Geräten verbreiten.
Joker, ein Wiederholungstäter, bezieht sich auf eine Klasse von schädlichen Apps, die für Rechnungs- und SMS-Betrug verwendet werden und außerdem eine Reihe von Aktionen nach Wahl eines böswilligen Hackers durchführen, wie z. B. den Diebstahl von Textnachrichten, Kontaktlisten und Gerätedaten.
Trotz der ständigen Versuche von Google, seine Abwehrmaßnahmen zu verbessern, werden die Apps immer wieder nach Lücken gesucht und schlüpfen unentdeckt in den App Store.
„Sie werden in der Regel über Google Play verbreitet, wo Betrüger legitime Apps aus dem Store herunterladen, sie mit bösartigem Code versehen und unter einem anderen Namen erneut in den Store hochladen“, so Kaspersky-Forscher Igor Golovin in einem letzte Woche veröffentlichten Bericht.
Die trojanisierten Apps, die den Platz ihrer entfernten Gegenstücke einnehmen, erscheinen oft als Messaging-, Health-Tracking- und PDF-Scanner-Apps, die, sobald sie installiert sind, Zugriffsrechte auf Textnachrichten und Benachrichtigungen anfordern und diese missbrauchen, um Nutzer für Premiumdienste zu abonnieren.
Ein raffinierter Trick, den Joker anwendet, um den Google Play-Überprüfungsprozess zu umgehen, besteht darin, seine bösartige Nutzlast „ruhend“ zu machen und seine Funktionen erst zu aktivieren, nachdem die Apps im Play Store freigeschaltet wurden.
Drei der von Kaspersky bis Ende Februar 2022 entdeckten Joker-infizierten Apps sind unten aufgeführt. Obwohl sie aus Google Play entfernt wurden, sind sie weiterhin bei App-Anbietern erhältlich.
Style Message (com.stylelacat.messagearound),
Blutdruck-App (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health), und
Kamera-PDF-Scanner (com.jiao.hdcam.docscanner)
Es ist nicht das erste Mal, dass Abo-Trojaner auf App-Marktplätzen aufgedeckt werden. Letztes Jahr wurden Apps für den APKPure App Store und eine weit verbreitete WhatsApp-Mod mit der Malware Triada kompromittiert.
Im September 2021 deckte Zimperium ein aggressives Geldmachersystem namens GriftHorse auf, und im Januar dieses Jahres folgte ein weiterer Fall von Missbrauch eines Premium-Dienstes namens Dark Herring.
„Abo-Trojaner können die Bot-Erkennung auf Websites für kostenpflichtige Dienste umgehen, und manchmal abonnieren sie Nutzer für die eigenen, nicht existierenden Dienste der Betrüger“, so Golovin.
„Um ungewollte Abonnements zu vermeiden, solltest du vermeiden, Apps aus inoffiziellen Quellen zu installieren, denn das ist die häufigste Quelle für Malware.“
Auch beim Herunterladen von Apps aus offiziellen App-Stores sollten die Nutzer/innen die Bewertungen lesen, die Legitimität der Entwickler/innen und die Nutzungsbedingungen überprüfen und nur die Berechtigungen erteilen, die für die Ausführung der vorgesehenen Funktionen erforderlich sind.