15. September 2023
Im Google Play Store wurden neue Bedrohungen erkannt, darunter Trojaner, die Kryptowährungen stehlen und kostenpflichtige Dienste im Namen der Nutzer abonnieren.
HAUPTTRENDS IM JULI
- Steigende Aktivität der Adware-Trojaner Android.HiddenAds
- Rückgang der Verbreitung der Adware-Trojaner Android.MobiDash
- Anstieg der Verbreitung von Banking-Trojanern und Spyware
- Neue Bedrohungen auf Google Play
Statistiken von Dr.Web für Android
- Android.HiddenAds.3697
- Trojaner, die aufdringliche Werbung anzeigen. Sie werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangt sind, tarnen sie ihre Präsenz im infizierten System, z.B. verschwindet ihr Symbol vom Startbildschirm des Geräts.
- Android.Spy.5106
- Trojaner, die nicht offizielle Modifikationen von WhatsApp darstellen. Diese Programme können Benachrichtigungen anderer Apps stehlen, den Nutzer dazu bewegen, Apps aus unseriösen Quellen zu installieren, und Dialoge, deren Inhalt remote konfiguriert werden kann, bei der Nutzung des Messengers anzeigen.
- Android.Packed.57083
- Bösartige Anwendungen, die mit dem Packer ApkProtector geschützt sind (Banking-Trojaner, Spyware und andere Schadprogramme).
- Android.Pandora.7
- Android.Pandora.5
- Erkennung bösartiger Anwendungen, die das Backdoor-Programm Android.Pandora.2 installieren. Solche Downloader werden oft in Apps für Smart-TVs integriert, die auf spanischsprachige Nutzer abzielen.
- Program.FakeMoney.7
- Program.FakeMoney.8
- Anwendungen, die eine Belohnung des Nutzers simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld an sein Bankkonto überweisen zu können. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld.
- Program.FakeAntiVirus.1
- Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
- Program.SecretVideoRecorder.1.origin
- App, die im Hintergrundmodus Fotos und Videos über die integrierte Kamera des Android-Geräts ausführen kann. Sie kann unbemerkt arbeiten, Benachrichtigungen über den Aufnahmestart deaktivieren sowie ihr Symbol und ihre Beschreibung durch gefälschte ersetzen. Die App wird als potenziell gefährlich eingestuft.
- Program.SnoopPhone.1.origin
- App, die Aktivitäten der Nutzer von Android-Geräten überwacht. Die App ermöglicht es, SMS-Nachrichten abzufangen, Informationen über Telefonanrufe zu sammeln, das Gerät zu orten und die Umgebung abzuhören.
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.6.origin
- Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, APK-Dateien ohne Installation auszuführen. Sie schaffen eine virtuelle Umgebung, in der sie außerhalb des Hauptbetriebssystems ausgeführt werden.
- Tool.LuckyPatcher.1.origin
- Tool, das es ermöglicht, Android-Apps durch die Erstellung von Patches zu modifizieren, um die Funktionslogik der App zu ändern oder bestimmte Einschränkungen zu umgehen. Mithilfe des Tools versuchen Nutzer, die Prüfung des Root-Zugriffs in Banking-Apps zu deaktivieren und sich Zugriff auf unbegrenzte Ressourcen in Handyspielen zu verschaffen. Um Patches zu erstellen, lädt das Programm spezielle Skripts aus seiner Online-Datenbank herunter. Jeder Nutzer kann seine eigenen Skripts erstellen und in die Datenbank eintragen. Solche Skripts könnten bösartige Funktionen enthalten, daher sind sie potenziell gefährlich.
- Tool.ApkProtector.16.origin
- Erkennung von Anwendungen, die mit dem Software-Packer ApkProtector geschützt sind. Dieser Packer ist zwar nicht bösartig, wird aber bei der Entwicklung von Trojanern und unerwünschten Apps verwendet, um deren Erkennung zu erschweren.
- Tool.Packer.3.origin
- Erkennung von Android-Apps, deren Code mithilfe des Tools NP Manager verschlüsselt und verschleiert wurde.
- Adware.Fictus.1.origin
- Adware-Modul, das in Klonversionen bekannter Android-Spiele und -Apps eingebettet wird. Die Integration erfolgt mithilfe des Packers net2share. Die erstellten Kopien werden über App-Stores verbreitet und zeigen unerwünschte Werbung an.
- Adware.ShareInstall.1.origin
- Adware-Modul, das in Android-Apps integriert wird. Das Modul zeigt Werbebenachrichtigungen auf dem Sperrbildschirm von Android an.
- Adware.Airpush.7.origin
- Vertreter einer Familie von Adware-Modulen, die in Android-Apps integriert werden und unerwünschte Werbung anzeigen. Je nach Version und Modifikation zeigen solche Module Werbebenachrichtigungen, -banner oder -Pop-ups an. Mithilfe solcher Module werden oft bösartige Apps verbreitet: Der Nutzer wird dazu bewogen, eine bestimmte App zu installieren. Darüber hinaus können diese Module persönliche Informationen an einen Remote-Server weiterleiten.
- Adware.MagicPush.3
- Adware-Modul, das in Android-Apps integriert wird. Es zeigt Werbebanner über die Oberfläche des Betriebssystems an, auch wenn die infizierte App nicht genutzt wird. Diese Werbebanner sollen Nutzer in die Irre führen. Oft melden sie angeblich verdächtige Dateien und Spammails oder zeigen Benachrichtigungen über die Notwendigkeit, den Akkuverbrauch zu optimieren, an. Der Nutzer wird aufgefordert, eine bestimmte App zu öffnen, in der ein Adware-Modul integriert ist. Bei der Öffnung der App wird ihm Werbung angezeigt.
- Adware.AdPush.39.origin
- Adware-Modul, das in Android-Apps integriert wird. Das Modul zeigt Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem kann das Modul persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.
Bedrohungen auf Google Play
Im Juli 2023 erkannten die Spezialisten des Virenlabors von Doctor Web den Trojaner Android.CoinSteal.105 auf Google Play. Der Trojaner dient zum Diebstahl von Kryptowährungen.
Die untenstehenden Screenshots zeigen die offizielle App (links) und die gefälschte Anwendung (rechts).
Für die gefälschte App warben unter anderem Krypto-Blogger, wodurch die gefälschte App doppelt so oft wie die offizielle App installiert wurde.
Beim Start öffnet der Trojaner über die Komponente WebView eine von Cyberkriminellen festgelegte Website, über die Nutzer auf weitere bösartige Ressourcen umgeleitet werden. Zurzeit lädt der Trojaner die offizielle Website der Krypto-Börse P2B (https://p2pb2b.com). Zielwebsites können aber gefährlich sein (z.B. betrügerische Werbung enthalten).
Nach dem Laden der harmlosen offiziellen Website integriert der Trojaner Android.CoinSteal.105 bösartige JS-Skripte darin. Mithilfe dieser Skripte werden von Nutzern angegebene Krypto-Wallets-Adressen durch Krypto-Wallets der Cyberkriminellen ersetzt.
Über Google Play wurden außerdem bösartige Apps verbreitet, die kostenpflichtige Services im Namen der Nutzer von Android Geräten abonnierten, z.B. der Trojaner Android.Harly.80, der in der App „Desktop Pets – Lulu“ zur Kommunikation mit virtuellen Heimtieren getarnt wurde.
Zudem wurden neue Trojaner der Familie Android.Joker erkannt und unter den Namen Android.Joker.2170, Android.Joker.2171 und Android.Joker.2176 in die Dr.Web Virendatenbank eingetragen. Der erste Trojaner war in der App „Cool Charging Animation“ zur Anzeige des Akkuladestandes auf dem Sperrbildschirm integriert. Der zweite tarnte sich in der Tracking-App „Smart Counter“ zur Verfolgung und Aufzeichnung von Gewohnheiten und täglichen Aktivitäten. Der dritte wurde als Bildersammlung „4K HD Wallpaper“ verbreitet.
Um Ihre Android-Geräte vor Schadprogrammen zu schützen, installieren Sie Dr.Web für Android.
Indikatoren der Kompromittierung
Ihr Android-Gerät braucht einen Malwareschutz.
Nutzen Sie Dr.Web
- Eine der ersten Malwareschutz-Apps für Android weltweit
- Über 140 Mio Downloads – nur auf Google Play
- Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender
