Eset entdeckt erneut Malware im Google Play Store

Google hat erneut mit Malware verseuchte Apps aus seinem Play Store entfernen müssen. Entdeckt wurden sie vom Sicherheitsanbieter Eset. Insgesamt acht auf den ersten Blick legitim anmutende Apps enthielten einen Banking-Trojaner namens „Android/TrojanDropper.Agent.BKY“.

Eset weist in einem Blogeintrag darauf hin, dass die acht Apps nur eine geringe Verbreitung von jeweils wenigen Hundert Downloads erreichten. Was sie interessant mache, seien die fortschrittlichen Funktionen, mit denen sie sich zumindest vorübergehend einer Erkennung entzogen hätten.

Dafür nutzten sie eine mehrstufige Architektur sowie Verschlüsselung. Zudem führten sie anfänglich keine schädlichen Aktivitäten aus und fragten auch nicht nach irgendwelchen verdächtigen Berechtigungen. Zur Tarnung gehörte auch, dass sie stattdessen die von ihren Nutzern erwarteten Aktivitäten nachahmten.

Im Hintergrund begann der Trojaner jedoch, in einem ersten Schritt eine erste Schadsoftware zu entschlüsseln und auszuführen. Deren Aufgabe war es, die zweite Stufe zu aktivieren, sprich erneut Schadcode zu entschlüsseln und auszuführen, der sich im Installationspaket der ursprünglich von Google Play heruntergeladenen App versteckte. „Diese Schritte sind unsichtbar für den Nutzer und dienen der Vertuschung“, teilte das Unternehmen mit.

Der Schadcode der zweiten Stufe enthielt laut Eset eine voreingestellte URL, von der eine weitere schädliche App heruntergeladen wurde – die dritte Stufe der mehrstufigen Architektur. Sie gab sich als eine legitime Software wie Adobe Flash Player oder ein Android-Update aus, um die für die eigentliche Schadsoftware – Stufe vier – benötigten Berechtigungen wie Zugriff auf Kontakte, SMS, Telefon und Speicher zu erhalten, die im Anschluss entschlüsselt und ausgeführt wurde.

„In allen von uns untersuchten Fällen war die letzte Stufe ein mobiler Banking-Trojaner. Sobald er installiert wird, verhält er sich wie ein typischer Vertreter seiner Art: Er blendet gefälschte Log-in-Seiten ein, um Anmeldedaten oder Kreditkartendaten zu stehlen“, ergänzte Eset. Der mehrstufige Aufbau erlaube es den Hintermännern jedoch, praktisch jede Art von Malware einzuschleusen.

Betroffenen Nutzern rät Eset, den im Rahmen der Malware-Installation eingerichteten Geräteadministrator in den Sicherheitseinstellungen ihres Geräts zu deaktivieren. Danach sei es erforderlich, über den App-Manager in den Einstellungen das heruntergeladene Flash-Player- oder Android-Update zu deinstallieren. Im letzten Schritt müsse schließlich die aus dem Play Store bezogene App entfernt werden. Nutzer sollten nach Einträgen für MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS und World News Pro suchen.

Da Eset nicht auszuschließt, dass es mehrstufige Malware erneut in den Play Store schafft, sollten Nutzer sich nicht ausschließlich auf Googles Sicherheitsfunktionen verlassen. Stattdessen sollten sie vor der Installation auch die Bewertungen und Kommentare prüfen und auf die geforderten Berechtigungen achten. Als Anbieter von Sicherheitssoftware rät Eset natürlich auch, eine namhafte Antivirenlösung auszuführen.

[mit Material von Tom Jowitt, Silicon.co.uk]