pts20150922022 Technologie/Digitalisierung, Forschung/Entwicklung

"Candy Crush" mit Trojaner-Backdoor: ESET entdeckt infizierte Spiele-Apps im Google Play Store

Malware-Präventionssystem Google Bouncer durch ausgefeilte Tarnung umgangen


Backdoor-Trojaner
Backdoor-Trojaner "Mapin"

Jena (pts022/22.09.2015/16:15) Der europäische Security-Software-Hersteller ESET macht auf einen außergewöhnlichen Angriff auf Android-Nutzer aufmerksam. Cyberkriminelle nutzten Ende 2014 Vollversionen von populären Spiele-Apps wie "Plants vs. Zombies" oder "Candy Crush" als Tarnung, um den Trojaner Android/Mapin tief in die mobilen Systeme der nichts ahnenden Opfer einzuspeisen. Besonders heikel: Durch eine ausgefeilte Tarnungs-Strategie war die Schadsoftware dazu in der Lage, die automatische Malware-Überprüfung von Google namens "Google Bouncer" zu umgehen und die Spiele über den offiziellen Google Play Store zu verbreiten. Erst einige Zeit und mehrere Tausend Downloads später entfernte Google die bösartigen Apps aus dem Play Store und verbesserte die Sicherheitsvorkehrungen.

Google Bouncer geschickt getäuscht
Der Trojaner nutzte populäre Spiele-Apps für die schnelle Verbreitung über den Google Play Store und alternative Android-App-Marktplätze. Dabei handelte es sich unter anderem um die folgenden Titel, die teils mit inkonsistenten App-Logos und absichtlichen Tippfehlern im Namen versehen waren (vgl. BILD1 im Anhang):

* Plants Vs Zombies
* Plant vs Zombie
* Temple Run 2 Zoombie
* USubway Suffer
* Traffic Racer
* Super Hero Adventure
* Candy crush
* Jewel Crush
* Racing rivals

Schadhafte Komponenten erst nach Tagen aktiv
Die Spiele sind voll funktionsfähig und verleiten das Opfer nicht dazu, einen Verdacht zu schöpfen. Auch dauert es eine Weile, bis die schadhaften, an das Spiel geknüpften Funktionen zum Leben erwachen:
"Einige Varianten von Android/Mapin benötigen bis zu drei Tage, um den vollen Funktionsumfang des Trojaners zu erhalten. Dies dürfte einer der Gründe dafür sein, dass die integrierte Downloader-Routine dazu in der Lage war, das Google-Bouncer-Sicherheitssystem zu umgehen", kommentiert ESET-Malware-Forscher Lukás Stefanko die Wirkungsweise der Malware.

Nachdem die Schadsoftware aktiviert wurde, gibt sie vor, ein Google-Play-Update oder eine Applikation namens "Manage Settings" zu sein und verlangt weitreichende Administrations-Zugriffe, die tief ins System reichen. Bricht der Nutzer die Installation ab, erscheint das Dialogfeld so oft wieder, bis die Änderungen letztlich bestätigt werden - gewährt der Nutzer die erfragten Rechte, wird das infizierte Android-Gerät Teil eines großen Botnetzes, das von den Angreifern aus der Ferne gesteuert werden kann. Die Folge: ungefragter Download sowie Installation von ungewünschten Applikationen, Ausschnüffeln von privaten Daten wie Klarnamen, IMEI-Nummer und Google-Account-Infos, sowie die Anzeige von Vollbild-Werbeanzeigen auf dem infizierten Gerät.

Über 10.000 Downloads
Die befallenen Android-Spiele-Apps wurden zwischen dem 24. und 30. November 2013 sowie dem 22. November 2014 in den Google Play Store gestellt. Bevor Google die Schadsoftware aus dem Store entfernte, wurde beispielsweise die gefälschte "Plants vs. Zombies"-App bereits über 10.000 Mal heruntergeladen.

Um sich bei der Installation von Apps aus dem Google Play Store vor bösen Überraschungen zu schützen, empfiehlt sich stets ein Blick auf die jeweiligen App-Entwickler. Wirken diese wenig vertrauenserweckend, sollte man von einer Installation absehen oder mindestens einen genauen Blick auf die Berechtigungen werfen, die von der App nach der Installation eingefordert werden. Eine aktuelle Security-Software wie die ESET Mobile Security kann dabei helfen, Android-Geräte zuverlässig vor Bedrohungen zu schützen.

ESET teilt eine tiefgehende technische Analyse des Angriffs-Szenarios auf seinem Security-Blog WeLiveSecurity: http://www.welivesecurity.com/deutsch/2015/09/22/candy-crush-mit-trojaner-backdoor

Folgen Sie ESET:
http://www.ESET.de
http://www.welivesecurity.de
https://twitter.com/ESET_de
https://www.facebook.com/ESET

(Ende)
Aussender: ESET Deutschland GmbH
Ansprechpartner: Michael Klatte
Tel.: +49 364 131142-57
E-Mail: michael.klatte@eset.de
Website: www.eset.de
|