Auf Google Play sind mehr als 90 Android-Apps durch Viren verseucht. Nutzer haben in den letzten Monaten mehr als 5,5 Millionen solcher Downloads vorgenommen. Gefährdet sind auch Nutzer aus Deutschland. Vor allem Banking-Trojaner haben ein hohes Gefahrenpotenzial.
Der offizielle Download-Store für Android, Google Play, verfügt über mehr als 90 virenverseuchte Android-Apps, wie Sicherheitsexperten festgestellt haben. Auf ihren Android-Geräten haben die Nutzer solche mit Malware kontaminierte Apps mehr als 5,5 Millionen Mal installiert. Eine wichtige Rolle spielt dabei der Banking-Trojaner Anatsa, der auch als Teabot bezeichnet wird.
Banking-Trojaner Anatsa als Gefahrenquelle
Eine hohe Gefahr stellt der Banking-Trojaner Anatsa dar, da er mehr als 650 Apps von Finanzinstituten angreift. Gefährdet sind Banken aus Europa, darunter auch deutsche Banken, sowie US-amerikanische und asiatische Banken. Der Trojaner greift auf die Zugangsdaten der Nutzer für das Online-Banking zu und verwendet sie für betrügerische Transaktionen. Der Trojaner ist in verschiedenen Apps versteckt, die als Produktivitätstools verfügbar sind. Mit dieser Tarnung hatte Anatsa bereits im Februar 2024 bei Google Play zu mindestens 150.000 Infektionen geführt.
Das Sicherheitsunternehmen Zscaler informiert darüber, dass Anatsa im Mai 2024 erneut in Google Play eingedrungen ist. Das IT-Sicherheitsportal Bleepingcomputer berichtet, dass der Trojaner von Cyberkriminellen über die Apps QR Reader & File Manger sowie PDF Reader & File Manager verbreitet wird. Untersuchungen von Zscaler ergaben, dass bereits zu Beginn der Untersuchungen die mit dem Trojaner infizierten Apps auf ungefähr 70.000 Geräten installiert waren.
Anatsa von Google nicht immer als Malware erkennbar
Ein Problem besteht darin, dass Anatsa nicht immer von Google als Malware erkannt wird. Das liegt daran, dass es in mehreren Stufen die schädlichen Bestandteile nachlädt. Im ersten Schritt erhält der Hacker von den Command-and-Control-Servern über die Dropper-App Informationen zur Konfiguration und wichtigen Zeichenfolgen. Die App lädt im nächsten Schritt die durch den Dropper-Code infizierte DEX-Datei herunter. Der schädliche Dropper-Code wird auf dem Android-Smartphone aktiviert. Die App kann nun die Konfigurationsdatei herunterladen, in der sich die Anatsa-Payload-URL befindet.
Der Informationsvorgang wird durch die DEX-Datei abgeschlossen. Sie installiert die Malware als APK-Datei und sichert, dass die Malware tatsächlich aktiv wird. Dafür stellt sie sicher, dass die Malware nicht in Emulationen oder Sandboxen landet, wo sie wirkungslos ist.
Anatsa lädt die Bot-Konfigurationen auf dem Server hoch. Auch die Ergebnisse der App-Scans landen auf dem Server. Der Nutzer wird mit der Schadsoftware konfrontiert, die dem Profil des infizierten Smartphones und dem Standort entsprechen.
Malware aktiv auf Google Play
Die gute Nachricht: Inzwischen hat Google Play die verseuchten Apps gelöscht. Anatsa ist vor allem auf Google Play aktiv. Die Sicherheitsexperten haben auch die anderen mehr als 90 infizierten Apps gefunden und entfernt. Sie veröffentlichen keine Namen dieser Apps. Cyberkriminelle gehen geschickt vor, um Malware einzuschleusen. Sie tarnen die Apps als Fitness-, Gesundheits- oder Produktivitäts-Apps, Personalisierungs-Apps, Tools oder Fotografie-Apps.
Wie sich Nutzer schützen können
Nutzer von Google Play können sich vor Malware schützen, indem sie ausschließlich Android-Apps herunterladen und keine Downloads von anderen Anbietern vornehmen. Die Hacker tricksen die Sicherheitsmechanismen von Google aus.
Auf der sicheren Seite sind Nutzer von Google Play, wenn sie vor jedem Download die Berechtigungen studieren, die eine App auf dem Smartphone beansprucht. Nicht alle diese Berechtigungen sind tatsächlich sinnvoll.
Zusätzlichen Schutz bietet ein Virenscanner auf dem Android-Smartphone. Es gibt verschiedene gute Antivirus-Programme für Android.
Quellen: Google Play, Zscaler, Bleepingcomputer, PC-Welt
