Trend Micro hat im Google Play Store 53 schädliche Apps gefunden. Sie verteilen eine Malware, die es auf die Facebook-Anmeldedaten ihrer Opfer abgesehen hat. Darüber hinaus ärgert sie Nutzer mit der Einblendung von unerwünschter Pop-up-Werbung. Die GhostTeam genannte Schadsoftware wurde möglicherweise mehrere hunderttausendmal heruntergeladen.
Die ersten GhostTeam-Apps wurden demnach schon im April 2017 veröffentlicht – sie gehörten also rund neun Monate zum Angebot von Googles App-Marktplatz. Ihren Schadcode versteckten die Cyberkriminellen in verschiedenen Werkzeugen, darunter Apps zur Verbesserung der Performance und zum Speichern von Videos von Sozialen Netzwerken. Besagte App „Download Videos From Facebook“ zählte laut Play Store zwischen 100.000 und 500.000 Downloads.
Auf einem infizierten Gerät prüft GhostTeam zuerst, ob es in einem Emulator oder einer virtuellen Umgebung ausgeführt wird. Trend Micro vermutet, dass die Hintermänner so eine Analyse ihres Schadcodes erschweren wollen. Sobald festgestellt wird, dass es sich um ein echtes Gerät handelt, versucht GhostTeam seinem Opfer eine gefälschte Version der Google Play Services unterzuschieben. Sie fordert die Rechte eines Geräteadministrators ein, wodurch die Schadsoftware die vollständige Kontrolle über das Gerät erhält.
Öffnet der Nutzer nun noch seine Facebook-App, blendet GhostTeam über den Android WebView Client eine gefälschte Seite zur Überprüfung des Facebook-Kontos ein. Gibt der Nutzer dort seinen Anmeldenamen und das Passwort ein, landen diese Daten auf einem von den Cyberkriminellen kontrollierten Server.
Die Masche funktioniert allerdings nur, falls der Nutzer die Authentifizierung in zwei Schritten nicht aktiviert hat. Zu welchem Zweck die Anmeldedaten gestohlen werden, ist indes nicht bekannt. Kampagnen mit gestohlenen Facebook-Anmeldedaten seien derzeit nicht bekannt, so die Forscher. Denkbar sei jedoch die Verbreitung weiterer Schadsoftware oder die Verbreitung von Fake News über Facebook.
Offenbar um Geld mit Werbeklicks zu verdienen, blendet GhostTeam auch bildschirmfüllende Anzeigen ein, und zwar bevorzugt, wenn der Nutzer mit dem Home-Bildschirm interagiert. Darüber hinaus hält GhostTeam das Gerät aktiv und verhindert das Ausschalten des Bildschirms, indem es im Hintergrund Anzeigen öffnet.
Derzeit ist GhostTeam laut Trend Micro vor allem in Indien aktiv, das seit Kurzem mehr Facebook-Nutzer hat als die USA. Zahlreiche Betroffene finden sich aber auch in Indonesien, Brasilien, Vietnam, Australien und auf den Philippinen. Zudem vermuten die Forscher einen Bezug der Hintermänner zu Vietnam, da GhostTeam nur dort in der Landessprache agiert – in allen anderen Ländern präsentiert sich die Malware dem Nutzer in englischer Sprache.
Inzwischen wurden die schädlichen Apps aus dem Play Store entfernt. Google wollte sich auf Nachfrage von ZDNet USA nicht zu dem Vorfall äußern. Ein Facebook-Sprecher erklärte, man blockiere die Verteilung solcher Apps, wann immer es möglich sei, und habe Systeme zur Erkennung kompromittierter Konten und Anmeldedaten.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von DAnny Palmer, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…