Categories: MobileMobile Apps

Play Store: 53 schädliche Apps stehlen Facebook-Anmeldedaten

Trend Micro hat im Google Play Store 53 schädliche Apps gefunden. Sie verteilen eine Malware, die es auf die Facebook-Anmeldedaten ihrer Opfer abgesehen hat. Darüber hinaus ärgert sie Nutzer mit der Einblendung von unerwünschter Pop-up-Werbung. Die GhostTeam genannte Schadsoftware wurde möglicherweise mehrere hunderttausendmal heruntergeladen.

Die ersten GhostTeam-Apps wurden demnach schon im April 2017 veröffentlicht – sie gehörten also rund neun Monate zum Angebot von Googles App-Marktplatz. Ihren Schadcode versteckten die Cyberkriminellen in verschiedenen Werkzeugen, darunter Apps zur Verbesserung der Performance und zum Speichern von Videos von Sozialen Netzwerken. Besagte App „Download Videos From Facebook“ zählte laut Play Store zwischen 100.000 und 500.000 Downloads.

Die Malware GhostTeam hat sich unter anderem in einem angeblichen Video-Downloader für Facebook versteckt (Screenshot: Trend Micro).Auf einem infizierten Gerät prüft GhostTeam zuerst, ob es in einem Emulator oder einer virtuellen Umgebung ausgeführt wird. Trend Micro vermutet, dass die Hintermänner so eine Analyse ihres Schadcodes erschweren wollen. Sobald festgestellt wird, dass es sich um ein echtes Gerät handelt, versucht GhostTeam seinem Opfer eine gefälschte Version der Google Play Services unterzuschieben. Sie fordert die Rechte eines Geräteadministrators ein, wodurch die Schadsoftware die vollständige Kontrolle über das Gerät erhält.

Öffnet der Nutzer nun noch seine Facebook-App, blendet GhostTeam über den Android WebView Client eine gefälschte Seite zur Überprüfung des Facebook-Kontos ein. Gibt der Nutzer dort seinen Anmeldenamen und das Passwort ein, landen diese Daten auf einem von den Cyberkriminellen kontrollierten Server.

Die Masche funktioniert allerdings nur, falls der Nutzer die Authentifizierung in zwei Schritten nicht aktiviert hat. Zu welchem Zweck die Anmeldedaten gestohlen werden, ist indes nicht bekannt. Kampagnen mit gestohlenen Facebook-Anmeldedaten seien derzeit nicht bekannt, so die Forscher. Denkbar sei jedoch die Verbreitung weiterer Schadsoftware oder die Verbreitung von Fake News über Facebook.

Offenbar um Geld mit Werbeklicks zu verdienen, blendet GhostTeam auch bildschirmfüllende Anzeigen ein, und zwar bevorzugt, wenn der Nutzer mit dem Home-Bildschirm interagiert. Darüber hinaus hält GhostTeam das Gerät aktiv und verhindert das Ausschalten des Bildschirms, indem es im Hintergrund Anzeigen öffnet.

Derzeit ist GhostTeam laut Trend Micro vor allem in Indien aktiv, das seit Kurzem mehr Facebook-Nutzer hat als die USA. Zahlreiche Betroffene finden sich aber auch in Indonesien, Brasilien, Vietnam, Australien und auf den Philippinen. Zudem vermuten die Forscher einen Bezug der Hintermänner zu Vietnam, da GhostTeam nur dort in der Landessprache agiert – in allen anderen Ländern präsentiert sich die Malware dem Nutzer in englischer Sprache.

Inzwischen wurden die schädlichen Apps aus dem Play Store entfernt. Google wollte sich auf Nachfrage von ZDNet USA nicht zu dem Vorfall äußern. Ein Facebook-Sprecher erklärte, man blockiere die Verteilung solcher Apps, wann immer es möglich sei, und habe Systeme zur Erkennung kompromittierter Konten und Anmeldedaten.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von DAnny Palmer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

18 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

22 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

23 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

23 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

23 Stunden ago