Android-Malware tarnt sich als Uber-App

Eine bösartige Anwendung gibt sich als Fahrdienst-App Uber aus. Dabei handelt es sich jedoch um die neue Variante eines Trojaners, den Symantec als Android.FakeApp bezeichnet. Die Malware hat es nicht zum ersten Mal auf die Nutzer von Android-Smartphones abgesehen, fällt jetzt aber durch eine neue Verschleierungsmethode auf.

Die Hintermänner von FakeApp nutzten die Malware schon seit 2012, um Werbung einzublenden und Informationen von kompromittierten Geräten mitzuschneiden. Jetzt geht es ihnen darum, an die Anmeldedaten für Uber-Konten zu kommen. Sie werden diese wahrscheinlich selbst für betrügerische Zwecke einsetzen oder sie in einschlägigen Foren zum Kauf anbieten.

Wie die Sicherheitsforscher von Symantec herausfanden, blendet FakeApp in regelmäßigen Abständen auf dem Smartphone-Display eine der Uber-App nachempfundene Bedienoberfläche ein. Das wiederholt sich solange, bis sich der Nutzer vielleicht verleiten lässt, seine Uber-ID – typischerweise die beim Fahrdienst registrierte Telefonnummer – und das Passwort dazu einzugeben.

Danach bemüht sich die Malware, ihre Spuren zu verwischen und vor allem keinen Verdacht beim Nutzer aufkommen zu lassen. Zu diesem Zweck zeigt sie ein Fenster der echten Uber-App an, auf der der aktuelle Standort des Nutzers zu sehen ist – ganz wie von der legitimen App zu erwarten. Das geschieht mit der der Overlay-Technik, die schon häufig bei Android-Schadsoftware zum Einsatz kam.

Bei einem Overlay-Angriff überlagert die App eines Angreifers andere Fenster und Apps, die auf dem Gerät laufen. FakeApp hat hier aber noch einen besonderen Trick auf Lager und blendet gezielt einen Bildschirm ein, mit dem die echte Uber-App typischerweise auf eine angeforderte Fahrt reagiert und dabei den Standort des Opfers für die gewünschte Abholung durch ein Uber-Fahrzeug anzeigt.

Das gelingt der Malware, indem sie eine Deep-Link-URL der Uber-App nutzt. Deep Linking dient bei Android dazu, bestimmte Inhalte oder Funktionen innerhalb von Anwendungen aufzurufen. „Dieses Beispiel demonstriert erneut das ständige Bestreben der Malware-Autoren, neue Social-Engineering-Techniken zu entwickeln, um ahnungslose Nutzer zu täuschen und von ihnen zu stehlen“, kommentiert Symantec-Analyst Dinesh Venkatesan.

Venkatesan nimmt jedoch keine weite Verbreitung dieser FakeApp-Variante an, da sie nicht über Google Play zu beziehen ist, sondern nur per Download von anderen Websites. Opfer vermutet er vor allem in russischsprachigen Ländern. Ebenso wie Uber rät er dringend, nur Apps von Googles offiziellem Play Store zu installieren. Aber auch hier bleibt Umsicht geboten, denn immer wieder entdecken Sicherheitsforscher Malware im Google Play Store.

[mit Material von Danny Palmer, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago