Play Store: 53 schädliche Apps stehlen Facebook-Anmeldedaten

Trend Micro hat im Google Play Store 53 schädliche Apps gefunden. Sie verteilen eine Malware, die es auf die Facebook-Anmeldedaten ihrer Opfer abgesehen hat. Darüber hinaus ärgert sie Nutzer mit der Einblendung von unerwünschter Pop-up-Werbung. Die GhostTeam genannte Schadsoftware wurde möglicherweise mehrere hunderttausendmal heruntergeladen.

Die ersten GhostTeam-Apps wurden demnach schon im April 2017 veröffentlicht – sie gehörten also rund neun Monate zum Angebot von Googles App-Marktplatz. Ihren Schadcode versteckten die Cyberkriminellen in verschiedenen Werkzeugen, darunter Apps zur Verbesserung der Performance und zum Speichern von Videos von Sozialen Netzwerken. Besagte App „Download Videos From Facebook“ zählte laut Play Store zwischen 100.000 und 500.000 Downloads.

Die Malware GhostTeam hat sich unter anderem in einem angeblichen Video-Downloader für Facebook versteckt (Screenshot: Trend Micro).Auf einem infizierten Gerät prüft GhostTeam zuerst, ob es in einem Emulator oder einer virtuellen Umgebung ausgeführt wird. Trend Micro vermutet, dass die Hintermänner so eine Analyse ihres Schadcodes erschweren wollen. Sobald festgestellt wird, dass es sich um ein echtes Gerät handelt, versucht GhostTeam seinem Opfer eine gefälschte Version der Google Play Services unterzuschieben. Sie fordert die Rechte eines Geräteadministrators ein, wodurch die Schadsoftware die vollständige Kontrolle über das Gerät erhält.

Öffnet der Nutzer nun noch seine Facebook-App, blendet GhostTeam über den Android WebView Client eine gefälschte Seite zur Überprüfung des Facebook-Kontos ein. Gibt der Nutzer dort seinen Anmeldenamen und das Passwort ein, landen diese Daten auf einem von den Cyberkriminellen kontrollierten Server.

Die Masche funktioniert allerdings nur, falls der Nutzer die Authentifizierung in zwei Schritten nicht aktiviert hat. Zu welchem Zweck die Anmeldedaten gestohlen werden, ist indes nicht bekannt. Kampagnen mit gestohlenen Facebook-Anmeldedaten seien derzeit nicht bekannt, so die Forscher. Denkbar sei jedoch die Verbreitung weiterer Schadsoftware oder die Verbreitung von Fake News über Facebook.

Offenbar um Geld mit Werbeklicks zu verdienen, blendet GhostTeam auch bildschirmfüllende Anzeigen ein, und zwar bevorzugt, wenn der Nutzer mit dem Home-Bildschirm interagiert. Darüber hinaus hält GhostTeam das Gerät aktiv und verhindert das Ausschalten des Bildschirms, indem es im Hintergrund Anzeigen öffnet.

Derzeit ist GhostTeam laut Trend Micro vor allem in Indien aktiv, das seit Kurzem mehr Facebook-Nutzer hat als die USA. Zahlreiche Betroffene finden sich aber auch in Indonesien, Brasilien, Vietnam, Australien und auf den Philippinen. Zudem vermuten die Forscher einen Bezug der Hintermänner zu Vietnam, da GhostTeam nur dort in der Landessprache agiert – in allen anderen Ländern präsentiert sich die Malware dem Nutzer in englischer Sprache.

Inzwischen wurden die schädlichen Apps aus dem Play Store entfernt. Google wollte sich auf Nachfrage von ZDNet USA nicht zu dem Vorfall äußern. Ein Facebook-Sprecher erklärte, man blockiere die Verteilung solcher Apps, wann immer es möglich sei, und habe Systeme zur Erkennung kompromittierter Konten und Anmeldedaten.

[mit Material von DAnny Palmer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de