Mobile Security

Perfekt geklonte Apps schleusen versteckt Malware auf mobile Endgeräte ein

Auf vielen mobilen Geräten finden sich mittlerweile Apps in modifizierten Versionen. Solche Anwendungen können bei Nutzern damit punkten, dass sie Zusatzfunktionen und attraktive individuelle Anpassungen anbieten, mit reduzierten Preisen werben oder in Ländern verfügbar sind, in denen die Originalanwendung nicht angeboten wird.

Das kann so verlockend sein, dass Nutzer alle Sicherheitsbedenken in den Wind schlagen und solche Apps über inoffizielle Anbieter herunterladen. Wer jedoch eine App in modifizierter Form installiert, geht dabei das Risiko ein, dass an der App noch ganz andere Modifikationen vorgenommen wurden, als die angekündigten – und dabei kann es sich um bösartigen Code handeln.

So hat etwa das App-Forschungsteam des Cyber-Sicherheitsanbieters Check Point vor Kurzem eine verdächtige Android-Anwendungsversion der weit verbreiteten Messenger-App Telegram untersucht und kriminelle Modifikationen entdeckt. Die Malware ist als Version 9.2.1 der Messenger-App getarnt und verwendet nicht etwa nur das gleiche Symbol wie die ursprüngliche Telegram-Anwendung, sondern auch den gleichen Paketnamen: org.telegram.messenger. Wenn Nutzer beim Start der App einen perfekt kopierten Telegram-Authentifizierungsbildschirm angezeigt bekommen und aufgefordert werden, die Telefonnummer des Geräts einzugeben und der Anwendung Telefonrechte zu erteilen, wird damit der Authentifizierungsprozess der ursprünglichen Telegram-Anwendung so täuschend echt nachgebildet, dass die Nutzer keinen Grund zur Vermutung haben, dass auf ihrem Gerät gerade etwas Bösartiges abläuft.

In dieser modifizierten Telegram-Version haben Kriminelle jedoch bösartigen Code eingebettet, der mit dem Trojaner Triada verbunden ist. Bei dem erstmals 2016 entdeckten Trojaner handelt es sich um eine modulare Hintertür für Android, die sich Administratorenrechte zum Herunterladen weiterer Malware verschafft. Besonders perfide: Der Malware-Code, der beim Starten der modifizierten Telegram-Anwendung im Hintergrund ausgeführt wird, ist als interne Anwendungsaktualisierung getarnt. Triada sammelt im Anschluss Geräteinformationen, lädt eine Konfigurationsdatei herunter, baut einen Kommunikationskanal auf und empfängt von seinen kriminellen Entwicklern weitreichendere Malware. Sobald die entschlüsselt und gestartet ist, erlangt Triada Systemprivilegien, die es erlauben andere Prozesse zu übernehmen und bösartige Aktionen durchzuführen.

Das Mobile Research Team des Anbieters Check Point kommentiert den Fund wie folgt: „Frühere Untersuchungen von Triada-Nutzdaten haben die vielfältigen bösartigen Fähigkeiten von Triada aufgezeigt. Dazu gehören die Anmeldung des Benutzers für verschiedene kostenpflichtige Abonnements, die Durchführung von In-App-Käufen unter Verwendung der SMS- und Telefonnummer des Benutzers, die Anzeige von Werbung (einschließlich unsichtbarer, im Hintergrund laufender Werbung) und der Diebstahl von Anmeldedaten und anderen Benutzer- und Geräteinformationen.“ Um ihre Geräte vor den immer neue Wege findenden Malware-Angriffen mit Hilfe von Trojanern zu schützen, sollten Nutzer beim Herunterladen von Apps die Sicherheit an erste Stelle setzten und Apps ausschließlich von offiziellen Websites oder offiziellen App-Stores und Verzeichnissen beziehen und unbedingt darauf achten, welche Berechtigungen beim Installieren einer App angefordert werden und ob diese Berechtigungen für die eigentliche Funktion der App tatsächlich erforderlich sind.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben