Android-Malware tarnt sich als Uber-App

Eine bösartige Anwendung gibt sich als Fahrdienst-App Uber aus. Dabei handelt es sich jedoch um die neue Variante eines Trojaners, den Symantec als Android.FakeApp bezeichnet. Die Malware hat es nicht zum ersten Mal auf die Nutzer von Android-Smartphones abgesehen, fällt jetzt aber durch eine neue Verschleierungsmethode auf.

Die Hintermänner von FakeApp nutzten die Malware schon seit 2012, um Werbung einzublenden und Informationen von kompromittierten Geräten mitzuschneiden. Jetzt geht es ihnen darum, an die Anmeldedaten für Uber-Konten zu kommen. Sie werden diese wahrscheinlich selbst für betrügerische Zwecke einsetzen oder sie in einschlägigen Foren zum Kauf anbieten.

Wie die Sicherheitsforscher von Symantec herausfanden, blendet FakeApp in regelmäßigen Abständen auf dem Smartphone-Display eine der Uber-App nachempfundene Bedienoberfläche ein. Das wiederholt sich solange, bis sich der Nutzer vielleicht verleiten lässt, seine Uber-ID – typischerweise die beim Fahrdienst registrierte Telefonnummer – und das Passwort dazu einzugeben.

Danach bemüht sich die Malware, ihre Spuren zu verwischen und vor allem keinen Verdacht beim Nutzer aufkommen zu lassen. Zu diesem Zweck zeigt sie ein Fenster der echten Uber-App an, auf der der aktuelle Standort des Nutzers zu sehen ist – ganz wie von der legitimen App zu erwarten. Das geschieht mit der der Overlay-Technik, die schon häufig bei Android-Schadsoftware zum Einsatz kam.

Bei einem Overlay-Angriff überlagert die App eines Angreifers andere Fenster und Apps, die auf dem Gerät laufen. FakeApp hat hier aber noch einen besonderen Trick auf Lager und blendet gezielt einen Bildschirm ein, mit dem die echte Uber-App typischerweise auf eine angeforderte Fahrt reagiert und dabei den Standort des Opfers für die gewünschte Abholung durch ein Uber-Fahrzeug anzeigt.

Das gelingt der Malware, indem sie eine Deep-Link-URL der Uber-App nutzt. Deep Linking dient bei Android dazu, bestimmte Inhalte oder Funktionen innerhalb von Anwendungen aufzurufen. „Dieses Beispiel demonstriert erneut das ständige Bestreben der Malware-Autoren, neue Social-Engineering-Techniken zu entwickeln, um ahnungslose Nutzer zu täuschen und von ihnen zu stehlen“, kommentiert Symantec-Analyst Dinesh Venkatesan.

Venkatesan nimmt jedoch keine weite Verbreitung dieser FakeApp-Variante an, da sie nicht über Google Play zu beziehen ist, sondern nur per Download von anderen Websites. Opfer vermutet er vor allem in russischsprachigen Ländern. Ebenso wie Uber rät er dringend, nur Apps von Googles offiziellem Play Store zu installieren. Aber auch hier bleibt Umsicht geboten, denn immer wieder entdecken Sicherheitsforscher Malware im Google Play Store.

[mit Material von Danny Palmer, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Tag ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

2 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

2 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

2 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

2 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

3 Tagen ago