Frankfurt, 15. Juni 2016

Die Sicherheitsanalysten von Doctor Web haben auf Google Play einen neuen Trojaner entdeckt. Der Schädling, der Login-Daten von VK.com-Nutzern klaut, wurde als Android.PWS.Vk.3 getauft.

Der Trojaner Android.PWS.Vk.3 versteckt sich in der App «Music for VK», die von Cyber-Kriminellen auf Google Play verbreitet wird. Der Entwickler heißt MixHard. Die Analysten von Doctor Web informierten den Suchmaschinen-Anbieter Google über den Vorfall mit Android.PWS.Vk.3. Der Schädling war zum Zeitpunkt der Publikation immer noch zum Download verfügbar.

Der Trojaner stellt einen vollwertigen Musik-Player für VK.com dar. Um Funktionen des Players nutzen zu können, müssen sich die Nutzer zunächst anmelden. Hier wartet jedoch eine böse Überraschung auf sie: der Schädling klaut den Benutzernamen und das Passwort und sendet diese an Cyber-Kriminelle. So erhalten Cyber-Kriminelle Zugriff auf das Konto des Nutzers.

Die Sicherheitsanalysten von Doctor Web haben festgestellt, dass Autoren von Android.PWS.Vk.3 bereits versucht haben, geklaute Benutzernamen zu verkaufen. Darüber hinaus können Cyber-Kriminelle andere Gruppen oder Konten zu diesem Zweck auf VK.com ausnutzen.

Früher haben Cyber-Kriminelle über diesen Trojaner die Malware als „Music for VK“ und „Music VK“ (entwickelt von Dobrandrav) verbreitet. Diese Malware ist nun aber gelöscht. Insgesamt konnte Android.PWS.Vk.3 über 12.000 Benutzerdaten herunterladen.

Die Entwickler des Trojaners haben vermeintlich eine eigene Gruppe auf VK.com, die mehr als 44.600 Teilnehmer zählt. Dabei wird Teilnehmern angeboten, Android.PWS.Vk.3 auf ihren mobilen Endgeräten zu installieren.

Darüber hinaus haben Autoren von Android.PWS.Vk.3 eine zusätzliche Player-App auf Google Play platziert. Diese App heißt „Musik und Video für VK“ und wird im Namen des Entwicklers Gomunkul verbreitet.

Obwohl dieser Player noch keine böswilligen Aktionen durchführt, kann er leicht zum Trojaner werden, wenn Cyber-Kriminelle eine einzige Einstellung über ein Update anpassen. Sollte dies der Fall sein, werden Nutzer aufgefordert, ein Plug-in zu installieren. Zum jetzigen Zeitpunkt verfügt dieses Modul über keine Funktionalitäten. Die Cyber-Kriminellen können es jedoch schnell aktualisieren und eine neue böswillige Funktion einbauen.

Der Player wurde bis jetzt von über 1.000.000 Nutzern installiert. Jeder Nutzer riskiert es, jederzeit zum Opfer eines Cyber-Kriminellen zu werden. Da diese Riskware eine Gefahr für Android-Nutzer darstellt, wurde sie als Android.Click.123 in die Datenbank aufgenommen.

Doctor Web empfiehlt Ihnen, nur geprüfte Applikationen für soziale Netzwerke zu benutzen und als Vorbeugemaßnahme gegen Viren & Co. eine Virenschutz-App zu installieren. Der Trojaner Android.PWS.Vk.3 und die Riskware Android.Click.123 werden durch Dr.Web für Android erfolgreich entdeckt und neutralisiert. Die Malware stellt für Dr.Web Nutzer keine Gefahr dar.

Mehr zum Trojaner

Schützen Sie Ihr Android-Gerät durch Dr.Web