Kaspersky warnt vor einem neuen Trojaner für Android, der über den offiziellen App-Marktplatz Google Play angeboten wird. Die als Fleckpe bezeichnete Malware sammelt Daten über Smartphone eines Opfers und nutzt diese, um im Namen des Nutzer – aber ohne dessen Wissen und Zustimmung – kostenpflichtige Abonnements abzuschließen.
Aktiv ist der Trojaner offenbar seit 2022. Bisher fand Kaspersky sieben mit Fleckpe infizierte Apps in Google Play. Zusammen wurden sie auf mehr als 620.000 Geräten installiert. Nach Angaben des Unternehmens wurden die sieben Apps inzwischen aus dem Play Store entfernt. Es sei aber nicht ausgeschlossen, dass weitere Apps der Hintermänner noch nicht entdeckt wurden – und die Zahl der Betroffenen höher sei, als bisher bekannt.
Trojaner tarnt sich als Foto-Editor
Wird eine der mit Fleckpe verseuchten Apps installiert und gestartet, fordert sie unter anderem die Berechtigung für den Zugriff auf Benachrichtigungen ein. Darüber hinaus wird eine sehr gut getarnte native Bibliothek geladen, die einen Dropper enthält. Der wiederum entschlüsselt den eigentlichen Schadcode und führt ihn aus.
Anschließend kontaktiert der Trojaner einen Befehlsserver der Hintermänner und übermittelt Daten, über die der Mobilfunkanbieter und das Land des Opfers ermittelt werden können. Im Gegenzug sendet der Befehlsserver laut Kaspersky eine Website zum Abschluss eines kostenpflichtigen Abonnements, die jedoch in einem nicht sichtbaren Browserfenster geöffnet wird. Dort versucht der Trojaner, ein Abonnement abzuschließen. Wird dafür ein Bestätigungscode benötigt, nutzt die Malware die zuvor erteilte Berechtigung für den Zugriff auf Benachrichtigungen, um den Code ohne Interaktion mit dem Opfer einzugeben und den Kauf des Abos abzuschließen.
Dieser Vorgang läuft ab, während die mit Fleckpe verseuchte App dem Nutzer die beworbenen legitimen Funktionen bietet. Unter anderem verstecken die Cyberkriminellen den Trojaner in Apps für die Bildbearbeitung oder für die Bereitstellung von Bildschirmhintergründen.
Neues Geschäftsmodell Abo-Trojaner
Kaspersky weist darauf hin, dass die Entwickler von Fleckpe den Trojaner stetig verbessern. Unter anderem soll dadurch die Erkennung der Malware erschwert werden. „Die Schadcode fängt jetzt nur noch Benachrichtigungen ab und zeigt Webseiten an und fungiert als Brücke zwischen dem nativen Code und den Android-Komponenten, die für den Kauf eines Abonnements erforderlich sind“, so Kaspersky weiter.
Abo-Trojaner sind Kaspersky zufolge ein neuer Trend. „Betroffene Nutzer entdecken die unerwünschten Abonnements oft nicht sofort, geschweige denn, dass sie herausfinden, wie es überhaupt dazu gekommen ist. All dies macht Abo-Trojaner in den Augen von Cyberkriminellen zu einer zuverlässigen illegalen Einnahmequelle.“
Neueste Kommentare
Noch keine Kommentare zu Erneut malwareverseuchte Apps im Google Play Store
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.