14. Juni 2022
Im Laufe des Monats erkannten die Spezialisten von Doctor Web neue bösartige Apps auf Google Play, darunter neue Trojaner der Familie Android.Subscription, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, betrügerische Anwendungen der Familie Android.FakeApp, Trojaner der Familie Android.PWS.Facebook, die Passwörter von Facebook-Nutzern stehlen, sowie Adware-Trojaner der Familie Android.HiddenAds.
HAUPTTRENDS IM MAI
- Die Verbreitung des Spyware-Trojaners Android.Spy.4498 ging zurück
- Anstieg der Verbreitung von Adware-Trojanern
- Neue bösartige Apps auf Google Play
Statistiken von Dr.Web für Android
- Android.Spy.4498
- Trojaner, der Benachrichtigungen anderer Apps stiehlt, unerwünschte Apps herunterlädt, Nutzer auffordert, diese Apps zu installieren, und unerwünschte Dialogfenster anzeigt.
- Android.HiddenAds.3018
- Android.HiddenAds.3152
- Trojaner, die aufdringliche Werbung anzeigen. Sie werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangt sind, tarnen sie ihre Präsenz im infizierten System, z.B. verschwindet ihr Symbol vom Startbildschirm des Geräts.
- Android.DownLoader.475.origin
- Trojaner, der andere Malware und unerwünschte Software herunterlädt. Er tarnt sich als harmlose Apps, die über Google Play oder bösartige Websites verbreitet werden.
- Android.Triada.4567.origin
- Mehrfunktionaler Trojaner, der eine Vielzahl von böswilligen Aktionen ausführt. Gehört zur Familie der Trojaner, die Prozesse aller laufenden Anwendungen beeinflussen. Einige Vertreter dieser Trojaner-Familie werden von Cyberkriminellen noch in der Produktionsphase in die Firmware von Android-Geräten implementiert. Einige Modifikationen können Schwachstellen ausnutzen, um sich Zugriff auf geschützte Systemdateien und -ordner zu verschaffen.
- Program.FakeAntiVirus.1
- Erkennung von Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
- Program.SecretVideoRecorder.1.origin
- Program.SecretVideoRecorder.2.origin
- App, die im Hintergrundmodus Fotos und Videos über die integrierte Kamera des Android-Geräts ausführen kann. Sie kann unbemerkt arbeiten, Benachrichtigungen über den Aufnahmestart deaktivieren sowie ihr Symbol und ihre Beschreibung durch gefälschte ersetzen. Die App wird als potenziell gefährlich eingestuft.
- Program.WapSniff.1.origin
- Anwendung, die WhatsApp-Nachrichten abfängt.
- Program.KeyStroke.3
- Android-App, die auf der Tastatur eingegebene Daten abfangen kann. Außerdem ermöglichen es einige Modifikationen der App, eingehende SMS-Nachrichten zu lesen, die Anrufliste anzuzeigen und Gespräche aufzunehmen.
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.13.origin
- Tool.SilentInstaller.7.origin
- Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, apk-Dateien ohne Installation auszuführen. Sie schaffen eine virtuelle Umgebung, in der sie außerhalb des Hauptbetriebssystems ausgeführt werden.
- Tool.Obfuscapk.1.origin
- Erkennung von Anwendungen, die durch das Dienstprogramm Obfuscapk geschützt sind. Dieses Dienstprogramm wird dazu verwendet, den Quellcode von Android-Apps automatisch zu modifizieren und zu verwirren, um deren Reverse Engineering zu erschweren. Cyberkriminelle verwenden sie, um bösartige und andere gefährliche Apps vor Erkennung durch Antivirusprogramme zu schützen.
Softwaremodule, die in Android-Apps integriert werden und aufdringliche Werbung auf Mobilgeräten anzeigen. Je nach Familie und Modifikation können sie Werbung im Vollbildmodus anzeigen, indem sie andere Fenster blockieren, Benachrichtigungen anzeigen, Verknüpfungen erstellen und Websites laden.
- Adware.SspSdk.1.origin
- Adware.AdPush.36.origin
- Adware.Adpush.6547
- Adware.Adpush.2146
- Adware.Myteam.2.origin
Bedrohungen auf Google Play
Im Mai erkannten die Spezialisten von Doctor Web zahlreiche neue Bedrohungen auf Google Play, darunter Android.HiddenAds.3158 und Android.HiddenAds.3161.
<
Bei der ersten Bedrohung handelt es sich um die Bildersammlung „Wild & Exotic Animal Wallpaper“. Der Trojaner tarnte seine Präsenz im infizierten System, indem er sein Symbol auf dem Startbildschirm des Geräts durch ein weniger auffallendes Symbol und seinen Namen durch „SIM Tool Kit“ ersetzte. Außerdem forderte die App die Berechtigung an, den Akkusparmodus zu deaktivieren, um ununterbrochen im Hintergrundmodus zu arbeiten. Dies ermöglichte es dem Trojaner, Werbung anzuzeigen, auch wenn der Nutzer die App seit langem nicht nutzte.
Der andere Trojaner wurde als die Taschenlampen-App „Magnifier Flashlight“ verbreitet. Er blendete sein Symbol in der App-Liste auf dem Hauptbildschirm des Geräts aus und zeigte Werbevideos und -banner an. Hier sind einige Beispiele:
Es wurden neue Trojaner gefunden, die Daten zum Hacken von Facebook-Benutzerkonten stehlen. Sie wurden als die Bildbearbeitungsprogramme „PIP Pic Camera Photo Editor“ (Android.PWS.Facebook.142), „PIP Camera 2022“ (Android.PWS.Facebook.143), „Camera Photo Editor“ (Android.PWS.Facebook.144) und „Light Exposure Photo Editor“ (Android.PWS.Facebook.145), sowie die Astrologie-App „Fortune Finder“ (Android.PWS.Facebook.141) verbreitet.
Diese Trojaner fordern Nutzer auf, sich im Facebook-Benutzerkonto einzuloggen, um z.B. alle Features der App nutzen zu können oder die Werbeanzeige zu deaktivieren. Danach fangen sie alle eingegebenen Daten ab und leiten diese den Cyberkriminellen weiter.
Zudem wurden neue Vertreter der Familie Android.Subscription gefunden. Diese Trojaner abonnieren kostenpflichtige Dienste im Namen der Nutzer. Der Trojaner Android.Subscription.9 tarnte sich als die Datenwiederherstellungs-App „Recovery“. Der Trojaner Android.Subscription.10 wurde als das Handyspiel „Driving Real Race“ verbreitet. Diese bösartigen Apps öffneten Websites, auf denen kostenpflichtige Dienste im Namen der Nutzer abonniert wurden.
Auch gefälschte Apps wurden aktiv verbreitet, darunter die App Android.FakeApp.949, die unter russischen Nutzern als App zur Beantragung von Sozialleistungen verbreitet wurde. In der Tat öffnete die App betrügerische Websites, auf denen Nutzer aufgefordert wurden, ihre persönlichen Informationen und Bankdaten anzugeben.
Eine weitere gefälschte Anwendung wurde als die App „Only Fans App OnlyFans Android“ verbreitet, die es Nutzern angeblich ermöglichte, Zugriff auf private Profile und kostenpflichtige Inhalte des Dienstes „OnlyFans“ kostenlos zu erhalten.
Nutzer wurden aufgefordert, an einer Umfrage teilzunehmen. Das Programm öffnete eine betrügerische Website, auf der die Zugriffserteilung simuliert wurde. Der Nutzer musste seine E-Mail-Adresse angeben und einige Aufgaben erfüllen, z.B. bestimmte Handyspiele installieren oder an einer Online-Umfrage teilnehmen. In der Tat erhielt der Nutzer keinen Zugriff auf die gewünschten Daten oder App-Features. Dafür bekamen die Cyberkriminellen eine Vergütung von Partner-Services. Die App wurde als Android.FakeApp.951 in die Dr.Web Virendatenbank eingetragen.
Hier sind einige Screenshots der betrügerischen Umfrage:
So sieht die angebliche Zugriffserteilung aus:
Um Ihre Android-Geräte vor Schadprogrammen zu schützen, installieren Sie Dr.Web für Android.
Ihr Android-Gerät braucht einen Malwareschutz.
Nutzen Sie Dr.Web
- Eine der ersten Malwareschutz-Apps für Android weltweit
- Über 140 Mio Downloads – nur auf Google Play
- Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender
