„Candy Crush“ mit Trojaner-Backdoor

23. September 2015

    Der europäische Security-Software-Hersteller Eset macht auf einen aussergewöhnlichen Angriff auf Android-Nutzer aufmerksam. Cyberkriminelle nutzten Ende 2014 Vollversionen von populären Spiele-Apps wie „Plants vs. Zombies“ oder „Candy Crush“ als Tarnung, um den Trojaner Android/Mapin tief in die mobilen Systeme der nichts ahnenden Opfer einzuspeisen. 

    Daran besonders heikel: Durch eine ausgefeilte Tarnungs-Strategie war die Schadsoftware dazu in der Lage, die automatische Malware-Überprüfung von Google namens „Google Bouncer“ zu umgehen und die Spiele über den offiziellen Google Play Store zu verbreiten. Erst einige Zeit und mehrere Tausend Downloads später entfernte Google die bösartigen Apps aus dem Play Store und verbesserte die Sicherheitsvorkehrungen. Zwar entfernte Google die verseuchten Spiele einige Zeit und mehrere Tausend Downloads später aus dem Play Store und verbesserte seine Sicherheitsvorkehrungen – Fakt ist aber, dass die weltweiten Eset Labors weiterhin Aktivitäten der Malware registrieren. Folglich sind sich offenbar viele Android-User nicht darüber bewusst, dass ihr mobiler Rechner mit bösartiger Software nach sensiblen Daten fischt.

    Google Bouncer geschickt getäuscht
    Der Trojaner nutzte populäre Spiele-Apps für die schnelle Verbreitung über den Google Play Store und alternative Android App-Marktplätze. Dabei handelte es sich unter anderem um die folgenden Titel, die teils mit inkonsistenten App-Logos und absichtlichen Tippfehlern im Namen versehen waren:

    • Plants Vs Zombies
    • Plant vs Zombie
    • Temple Run 2 Zoombie
    • USubway Suffer
    • Traffic Racer
    • Super Hero Adventure
    • Candy crush
    • Jewel Crush
    • Racing rivals


    Die Spiele sind voll funktionsfähig und verleiten das Opfer nicht dazu, einen Verdacht zu schöpfen. Auch dauert es eine Weile bis die schadhaften, an das Spiel geknüpften Funktionen zum Leben erwachen: „Einige Varianten von Android/Mapin benötigen bis zu drei Tage, um den vollen Funktionsumfang des Trojaners zu erhalten. Dies dürfte einer der Gründe dafür sein, dass die integrierte Downloader-Routine dazu in der Lage war, das Google Bouncer-Sicherheitssystem zu umgehen“, kommentiert Eset Malware-Forscher Lukáš Štefanko die Wirkungsweise der Malware.

    Nachdem die Schadsoftware aktiviert wurde, gibt sie vor, ein Google Play-Update oder eine Applikation namens „Manage Settings“ zu sein und verlangt weitreichende Administrations-Zugriffe, die tief ins System reichen. Bricht der Nutzer die Installation ab, erscheint das Dialogfeld so oft wieder, bis die Änderungen letztlich bestätigt werden – gewährt der Nutzer die erfragten Rechte, wird das infizierte Android-Gerät Teil eines grossen Botnetzes, das von den Angreifern aus der Ferne gesteuert werden kann. Die Folge: ungefragter Download sowie Installation von ungewünschten Applikationen, Ausschnüffeln von privaten Daten wie Klarnamen, IMEI-Nummer und Google-Account-Infos, sowie die Anzeige von Vollbild-Werbeanzeigen auf dem infizierten Gerät. Die befallenen Android-Spiele Apps wurden zwischen dem 24. und 30. November 2013 sowie dem 22. November 2014 in den Google Play Store gestellt. Bevor Google die Schadsoftware aus dem Store entfernte, wurde beispielsweise die gefälschte „Plants vs. Zombies“-App bereits über 10.000 Mal heruntergeladen.

    Um sich bei der Installation von Apps aus dem Google Play Store vor bösen Überraschungen zu schützen, empfiehlt sich stets ein Blick auf die jeweiligen App-Entwickler. Wirken diese wenig vertrauenserweckend, sollte man von einer Installation absehen oder mindestens einen genauen Blick auf die Berechtigungen werfen, die von der App nach der Installation eingefordert werden. Eine aktuelle Security-Software wie die Eset Mobile Security kann dabei helfen, Android-Geräte zuverlässig vor Bedrohungen zu schützen.


    Soziale Netzwerke

     

    Fractal Verlag GmbH

      +41 61 683 88 76

      Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!