Nordkoreanische Hacker: Android-Malware im Play Store

Article by · 21. Mai 2018 ·

Wie McAfee berichtet: Offenbar gelang es nordkoreanischen Hackern gezielt Schadsoftware im Google Play Store zu verbreiten. Mindestens drei schädliche Apps haben diese Hacker in den Google Play Store geschmuggelt. Sie blieben dabei mehrere Monate unentdeckt und konnten persönliche Daten von Dissidenten und Journalisten kapern.

Mindestens drei schädliche Apps haben nordkoreanische Hacker in den Google Play Store geschmuggelt. Das berichten Sicherheitsexperten des Antivirus-Herstellers McAfee.
Bei den drei Apps handelte es sich um ein Programm mit Informationen zu Lebensmitteln und zwei Programme für Datensicherheit: Fast AppLock und AppLockFree. Google hat die sogenannte Malware mittlerweile aus dem Store entfernt.

Die Sicherheitsforscher von McAfee berichten in einem Blogbeitrag von einer Malware-Kampagne gegen nordkoreanische Dissidenten. Den Angreifern sei es dabei gelungen die Schadsoftware, als Sicherheits-Apps getarnt im Play Store hochzuladen. Per Facebook wurde der Link verbreitet, um dann die Zielpersonen in die Falle zu locken. War die Schadsoftware erst einmal installiert, konnte die Hackergruppe unter anderem persönliche Fotos, das Adressbuch und Textnachrichten stehlen und ins Internet verschicken. Jede dieser Apps kam dabei nicht über 100 Downloads hinaus. Die geringe Verbreitung erhöhte die Chance, dass die Malware unentdeckt blieb.

Die Taktik der Angreifer ähnelte dabei ähnlichen Attacken Anfang des Jahres, berichtet McAfee. Unter anderem nutzten die Hacker zum Hochladen der Apps eine Entwickler-Mail-Adresse aus einem früheren Angriff. Kommentare im Code sprechen für Ähnlichkeiten zu früheren Angriffen. McAfee nennt die nordkoreanische Hacker-Gruppe „Sun Team“ als Angreifer.

McAfee rät, unveröffentlichte Apps oder Test-Versionen nicht zu installieren. Zudem sollen Nutzer überprüfen, wie oft die App heruntergeladen wurde. Sind die Download-Zahlen gering, sollten Nutzer vorsichtiger sein.

 

Erst im September 2017 musste google öffentlich machen das es Hackern gelungen ist , eine verschleierte Malware in den Play-Store zu schmuggeln, trotz Googles Play-Protect-Schutz. Betroffene Apps wurden über 20 Millionen Mal installiert.

Wie das Sicherheitsunternehmen Check Point Juni 2017 erklärte:

1. Der Nutzer lädt sich eine App aus dem Play Store, häufig ein Spiel oder eine Spiele-Hilfe, die auch tatsächlich funktionieren und sinnvollen Inhalt haben. Solche Apps erscheinen täglich zu Tausenden und kommen relativ sicher durch die Google-Prüfung. Sobald die Apps dann eine gewisse Verbreitung erreicht haben, lädt die App heimlich eine weitere Schad-App oder Schadcode herunter. Die Fähigkeit etwas herunterzuladen ist bei Spiele-Apps nicht ungewöhnlich und für Google daher auch kein Grund, die Apps nicht in den Play Store zu lassen.
2. Die gerade geladene App oder der nachgeladene Schadcode hat die Aufgabe, über Sicherheitslücken höhere Rechte, meist Root-Rechte, zu besorgen. Klappt das, startet die Ursprungs-App den nächsten Download.
3. Erst jetzt kommt der eigentlich Angriffscode auf das Handy, die sogenannte Payload. Je nach Angriff kann die sehr unterschiedlich sein und beispielsweise für das Verschlüsseln von Dateien sorgen, automatisiert Werbung aufrufen oder DDoS-Angriffe starten. Wenn überhaupt, merkt der Smartphone-Besitzer frühestens jetzt, dass etwas nicht stimmt.
4. Dank der erhöhten Rechte setzt sich die Payload nun im System fest, sodass sie sich vom Nutzer nicht mehr entfernen lässt. Außerdem richten einige Schad-Apps noch eigene Wächter ein, die zusätzlich das Löschen der Schadsoftware, das Installieren von Schutz-Apps oder das Infizieren durch fremde Schad-Apps verhindern sollen. Ja, teilweise errichten die Angreifer eine Schutzmauer vor anderen Viren. Der Grund ist einfach: Die Kriminellen wollen nicht teilen und das infizierte Gerät alleine ausnutzen.
5. Als letzten Angriffsschritt richten die meisten Schad-Apps dann noch eine Hintertür auf dem Gerät ein, über die die Kriminellen ihre Schadsoftware anpassen und beliebigen Schadcode aus der Ferne ausführen können.

 

Ein Tipp von @Virus

F-Droid ist ein installierbarer Katalog mit FOSS-Apps (Free and Open Source Software) für Android. Der Client vereinfacht die Suche und Installation von Apps und behält den Überblick über Aktualisierungen

FossdroidDie Web-App Fossdroid ermöglicht es euch, kostenlose Android-Apps im APK-Format herunterzuladen

Für alle die sich Sorgen über ihre Daten machen, etwas von Kuketz Blog

 

Quelle: Beitragsbild Image type, thx! (CC0 1.0)

Mehr zu diesem Thema:

4 Comments

  • comment-avatar

    Anonymous


    1. Computerbild empfiehlt Schutzprogramme wie Kaspersky? Hmmm…..

    2. McAffee rät: Sind die DL-Zahlen gering, nicht installieren – Ende September schmuggelten Hacker eine Schadsoftware in den PlayStore, die 20 Mio mal heruntergeladen wurde. Hmmmm……

  • comment-avatar

    virus


    Guter Artikel – das einzige was mich stört ist das du COMPUTER BILD und Schutz vor Schadsoftware in einem Satz nennst ;)

    Sinnvoller wäre es komplett auf den Play Store zu verzichten und Open Source Apps aus alternativen Stores umzusteigen.

    https://f-droid.org/
    https://fossdroid.com/

    Und für alle die sich Sorgen über ihre Daten machen und etwas tiefer in die Materie einsteigen wollen ist diese Artikelserie zu empfehlen:

    https://www.kuketz-blog.de/your-phone-your-data-light-android-unter-kontrolle/

    • comment-avatar

      Mauzi


      Ich hatte das nur übernommen.. stammt nicht von mir.. Aber ich lasse mich gern überzeugen und lösche das mal..
      Wenn das Ok für dich ist.. übernehme ich deine Links mal

      • comment-avatar

        Exploit


        Ja, der Beitrag ist nur zu empfehlen.


Leave a comment