Die Experten von Kaspersky haben einen neuen Trojaner in Google Play entdeckt, der mindestens elf Millionen Nutzer weltweit infiziert hat. Die neue Version des Necro-Trojaners wurde sowohl im offiziellen App Store als auch auf inoffiziellen Plattformen entdeckt.
Necro versteckte sich unter anderem in modifizierten Versionen der Apps von Spotify, WhatsApp oder Minecraft und ist in der Lage, weitere Apps von Drittanbietern zu installieren. Zudem dürfte er auch kostenpflichtige Abos abschließen können. Betroffen sind Nutzer unter anderem in der DACH-Region, Russland, Vietnam und Brasilien.
Die von Kaspersky-Experten entdeckte neue Variante des Trojaners Necro kann Module auf Smartphones herunterladen, wodurch die Angreifer mit dem infizierten Gerät unterschiedliche Ressourcen besuchen und es möglicherweise in ein Proxy-Botnetz integrieren können. Weiterhin ist der Trojaner in der Lage:
- Werbung in unsichtbaren Fenstern anzuzeigen und darauf zu klicken,
- ausführbare Dateien herunterzuladen,
- Apps von Drittanbietern zu installieren und
- beliebige Links in unsichtbaren WebView-Fenstern zu öffnen, um einen JavaScript-Code auszuführen.
Basierend auf seinen technischen Funktionen dürfte der Trojaner Nutzer für kostenpflichtige Dienste registrieren können. Darüber hinaus ermöglichen die heruntergeladenen Module Angreifern, den Internetverkehr über das Gerät des Opfers umzuleiten.
Infizierte Apps in Google Play und auf weiteren inoffiziellen Plattformen
Der Trojaner Necro wurde von den Kaspersky-Experten erstmals in einer modifizierten Version von Spotify Plus entdeckt. Die App-Entwickler behaupteten, dass diese für Geräte sicher sei und zusätzliche Funktionen biete, die in der offiziellen Musik-Streaming-App nicht zu finden seien. Kurz darauf fanden die Experten von Kaspersky modifizierte Versionen von WhatsApp, Minecraft, Stumble Guys und Car Parking Multiplayer. Necro wurde über ein nicht verifiziertes Werbemodul in diese Anwendungen eingebettet.
Weiterhin wurde der Trojaner Necro auch in Google Play in den Apps Wuta Camera und Max Browser gefunden. Laut Google-Play-Statistik kommen diese Apps zusammen auf über elf Millionen Downloads. Zudem wurde Necro über ein nicht verifiziertes Werbemodul verbreitet. Nach der Meldung von Kaspersky an Google wurde der Schadcode aus Wuta Camera entfernt und Max Browser aus dem Store genommen.
"Nutzer laden häufig inoffizielle, modifizierte Apps herunter, um Beschränkungen in offiziellen Anwendungen zu umgehen oder auf zusätzliche kostenlose Funktionen zuzugreifen", erklärt Dmitry Kalinin, Cybersicherheitsexperte bei Kaspersky. "Cyberkriminelle nutzen dieses Verhalten aus und verbreiten Malware über entsprechende Drittanbieter-Plattformen, da es dort weniger Sicherheitsfunktionen gibt. Bemerkenswert ist zudem, dass die in diese Anwendungen eingebettete Version von Necro Steganografie-Techniken verwendete, bei denen die Nutzlast in Bildern versteckt wurde, um unentdeckt zu bleiben – eine sehr seltene Methode für Mobile-Malware."
Die Sicherheitslösungen von Kaspersky erkennen und blockieren die Malware als Necro Trojan-Downloader.AndroidOS.Necro.f und Trojan-Downloader.AndroidOS.Necro.h, wobei die schädlichen Komponenten als Trojan.AndroidOS.Necro identifiziert werden.
Kaspersky-Tipps zum Schutz vor mobiler Malware
- Apps nur aus offiziellen Stores wie dem Apple-App-Store oder Google Play herunterladen. Diese garantieren zwar keinen vollständigen Schutz, werden jedoch zumindest von Mitarbeitenden der Anbieter geprüft. Zudem sorgt ein Filtersystem dafür, dass nicht jede App in die Stores gelangen kann.
- App-Berechtigungen vor ihrem Einsatz stets überprüfen, insbesondere solche mit höherem Risiko wie Zugangsdienste. Eine Taschenlampe benötigt beispielsweise nur Zugriff auf das Blitzlicht, nicht jedoch auf die Kamera des Geräts.
- Eine zuverlässige Sicherheitslösung wie Kaspersky Premium hilft, schädliche Apps und Adware zu erkennen, bevor sie auf einem Gerät Schaden anrichten kann.
- Updates für das Betriebssystem und wichtige Anwendungen sofort installieren, sobald sie verfügbar sind, um Sicherheitslücken zu schließen.
Quelle: Pressemitteilung