Facestealer: Android-Malware infiziert 100.000 Google Play-Nutzer

22.3.22 18:31 von Antonia Frank Lesezeit: 4 Min.

Der Google Play Store hat ca. 100.000 Downloads einer bösartigen Android-App verzeichnet. Der hier integrierte Facestealer stiehlt Passwörter

Eine bösartige Android-App, die mittels der integrierten Malware Facestealer Facebook-Zugangsdaten stiehlt, haben ca. 100.000 User über den Google Play Store installiert. War die App „Craftsart Cartoon Photo Tools“ gestern dort noch verfügbar, wie Bleeping Computer berichtete, ist sie inzwischen jedoch entfernt, nachdem Sicherheitsforscher davor gewarnt hatten.

Google arbeitet zwar ständig daran, zu gewährleisten, dass bösartige Apps nicht in den Google Play Store gelangen. Allerdings passieren einige davon dennoch diese Hürde und schlüpfen unter dem Radar der Sicherheitsvorkehrungen hindurch. Besagte Apps sehen oft seriös aus und eine solche hat es in den letzten Wochen geschafft, Tausende von Android-Nutzern zu täuschen.

Die App bietet an, dass sie Fotos mittels verschiedener Filter in Gemälde und Cartoons verwandeln kann. Stattdessen verwendet die infizierte App Social-Engineering, um Facebook-Anmeldedaten zu stehlen. Sobald ein Benutzer die App startet, öffnet sich eine Facebook-Anmeldeseite und verhindert, dass der Benutzer die App verwendet, bis er seinen Benutzernamen und sein Passwort eingegeben hat.

Facestealer-Trojaner infiziert über 100.000 Android-Geräte

Forscher des französischen Unternehmens für mobile Sicherheit Pradeo gaben am Montag bekannt, dass die App einen Android-Trojaner mit dem Namen „Facestealer“ enthält. Die Malware verleitet die Opfer mittels Social Engineering dazu, ihre Facebook-Anmeldedaten auf einer Website einzugeben. Dies wäre nötig, um den vollen Funktionsumfang der App nutzen zu können. Die Daten wurden anschließend an einen russischen Server des Angreifers übertragen.

Wenn ein Nutzer schließlich seine Anmeldedaten eingibt, haben die Entwickler der Android-App laut Pradeo vollen Zugriff auf die Facebook-Konten der Opfer, einschließlich aller damit verbundenen Zahlungsinformationen, wie z. B. Kreditkartendaten, sowie auf die Unterhaltungen und Suchanfragen der Nutzer. Ein Klick auf diese Seite offenbart, auf wie viele Daten die Kriminellen möglicherweise infolge Zugriff haben.

Zudem erhalten Bedrohungsakteure mit dem Datenerhalt eine Basis, um weitere Informationen zu sammeln. Pradeo erklärt, dass Cyberkriminelle gestohlene Facebook-Konten weiterhin dazu verwenden, um Finanzbetrug zu begehen, Phishing-Links zu versenden und gefälschte Nachrichten zu verbreiten.

Wie Pradeo feststellt, war die App bei Google Play und in App-Stores von Drittanbietern verfügbar. Sie tarnt sich als ein legitimes Fotobearbeitungstool. Die Entwickler haben allerdings hier einen Schadcode eingefügt, der in der Lage war, alle Sicherheitsvorkehrungen von Google zum Schutz von Android-Nutzern zu umgehen.

Pradeo rät dazu, wachsam zu bleiben

Pradeo-Sicherheitsforscherin Roxane Suau erklärt:

„Die Anwendung Craftsart Cartoon Photo Tools stellt Verbindungen zu einer in Russland registrierten Domain her. Unsere Nachforschungen haben ergeben, dass diese Domain seit 7 Jahren immer wieder verwendet wird und mit mehreren bösartigen mobilen Anwendungen verbunden ist, die zu einem bestimmten Zeitpunkt bei Google Play verfügbar waren und später gelöscht wurden. Um bei Google Play präsent zu bleiben, ist das Neupacken von mobilen Anwendungen eine gängige Praxis für Cyberkriminelle. Manchmal haben wir sogar Fälle beobachtet, in denen das Repackaging vollständig automatisiert war.“

Die App war sehr schlecht bewertet. Die Benutzer stellten fest, dass sie nicht das bot, was sie erwartet haben, wahrscheinlich weil sie hauptsächlich auf Datenklau per Facestealer ausgelegt war und der Rest nur zur Tarnung diente. Pradeos Empfehlung wäre, im Falle einer Installation, die App zu löschen und die Facebook-Passwörter umgehend zu ändern.

Facestealer ist bereits eine bekannte Android-Bedrohung, die in der Vergangenheit über trojanisierte Apps ihren Weg in Google Play gefunden hat. Laut früheren Malwarebytes-Analysen leitet die Anwendung den Benutzer beim ersten Start zur legitimen Hauptseite von Facebook. Es folgt eine Aufforderung, sich anzumelden, bevor man die App verwenden kann. Dann „stiehlt ein injiziertes bösartiges JavaScript die Anmeldeinformationen und sendet sie an einen Command-and-Control-Server. Der C2-Server verwendet Anmeldeinformationen, um den Zugriff auf das [Konto] zu autorisieren.“

Tarnkappe.info

Facebook und Instagram kosten bald 10 Euro monatlich

Meta schlägt den EU-Behörden vor, ihre Bürger müssen die Gebühr bezahlen oder personalisierter Werbung bei Facebook bzw. Instagram zustimmen.

Eine Warnung vor Malware auf einem MacOS-PC

Immer mehr macOS-PCs werden zu Proxy-Servern für die Unterwelt

Die Zeiten, in denen sich Benutzer von macOS-PCs sicher fühlen konnten, sind vorbei. Sie geraten immer häufiger ins Visier von Kriminellen.

HP Enterprise und Microsoft von Russland gehackt

Vergangene Woche machten beide Unternehmen bekannt, dass sie Opfer von Angriffen der russischen Hackergruppe Midnight Blizzard wurden.

Nach Löschanfrage: Downloader erneut aus Playstore verbannt

Der Downloader von Elias Saba soll die Urheberrechte von Warner Bros. verletzt haben. Wird es Elias gelingen, die Vorwürfe zu entkräften?

An alle Besitzer von Krypto-Wallets! CherryBlos will an eure Daten

Die Malware CherryBlos für Android ist heimtückisch und raffiniert. Sie versucht mit allen möglichen Tricks an eure Wallets zu gelangen.

Europa stoppt Facebook: Schluss mit gezielter Werbung!

Auf diese Nachricht haben viele Datenschützer lange gewartet. Europa stoppt Facebook! Endlich ist Schluss mit zielgerichteter Werbung.

Symbolbild eines Phishing-Angriffs: Ein Mann sitzt auf einem Smartphone und fängt an einem Haken die Passwörter der Nutzer ein

Phishing-Angriffe auf mobile Geräte nehmen erschreckende Ausmaße an

Phishing-Angriffe auf mobile Geräte nehmen drastisch zu. Schütze dich vor Malware, Spyware und Phishing-Attacken auf Smartphones und Tablets.

Soziale Netzwerke bergen viele Gefahren für Minderjährige

Der Digital Services Act der EU soll Minderjährige im Internet schützen. Eine Studie zeigt jedoch: große Plattformen moderieren nachlässig.

Malvertising ist eine unterschätze Gefahr (Symbolbild)

Google-Suche nach Notepad++ kann zu Infektion mit Malware führen

Das Beispiel von Notepad++ zeigt, dass die Suche nach einer bestimmten Software bei Google schnell zu gefährlicher Malware führen kann.

Addons mit Schadware: Chrome Web Store liefert diverse Schad-Addons aus

Ein Sicherheitsforscher fand in fast 20 Plugins im Chrome Webstore Schadcode und Google hilft bei der Verbreitung.

Mythos vom sicheren Mac: Warum es nicht stimmt

Der Mythos vom sicheren Mac ist falsch. Viren bedrohen auch Apple-Computer! Leider scheinen viele immer noch das Gegenteil zu glauben.

Qakbot: Behörden nahmen 700.000 Bots vom Netz

Dem BKA, FBI und diversen anderen Behörden gelang es, das Qakbot-Netzwerk zu deaktivieren. Es kam aber zu keinen Verhaftungen der Betreiber.

SwingVPN schießt nicht nur Nutzerdaten durch die Leitungen

SwingVPN macht Android Handys zum Teil eines Botnets

Eine beliebte VPN-App - SwingVPN - sendet nicht nur verschlüsselte Daten. Sie macht das eigene Handy auch zum Teil eines Botnetzes.

Pay or Okay ist nicht okay, okay?

Die EU-Datenschützer haben heute eine Stellungnahme zum verbreiteten Pay or Okay Modell veröffentlicht. Das hat massive Folgen für Autoren.

Facebooks Link-Verlauf in der Kritik

Mit der Link History vergisst Meta nie wieder etwas. Das betrifft externe Webseiten, die man von der mobilen Facebook-App aus besucht hat.

Zwei Vögel aus Feuer und Eis vor schwarzem Hintergrund

FrostWire: Populärer BitTorrent-Client wieder im Google Play Store

FrostWire ist zurück! Entdecke das brandneue Update 'Ice Phoenix' und profitiere von der Torrent-Unterstützung. Jetzt im Google Play Store!

Vermummter Hacker mit Tablet in der Hand

Halloware – Von einer Ransomware, die aus der Hölle kam

Vorsicht vor gruseligen Gewinnspielen zu Halloween! Skepsis ist angebracht, um sich vor Ransomware wie z.B. Halloware zu schützen.

Ein Adware Apps Symbolbild zeigt eine Person mit einem Tablet

Adware-Apps entlarvt: Wie Hacker beliebte Apps tarnen und Nutzer gefährden

Schützt euer Handy vor Adware-Apps! Über 60.000 gut getarnte Apps mit Adware sind derzeit im Umlauf. Die Gefahr ist nicht zu unterschätzen!