Bei Installation sollen die meisten Apps noch harmlos gewesen sein.

Foto: Reuters / Dado Ruvic

Eine Reihe bösartiger Google-Play-Apps, die mehr als 300.000-mal heruntergeladen wurden, hat Bankdaten der User gestohlen. Das fanden Forscher der Sicherheitsfirma Thread Fabric heraus. Die Banking-Trojaner erstellten Screenshots und protokollierten heimlich Passwörter, Zwei-Faktor-Authentifizierungscodes und Tastatureingaben, berichtet "Ars Technica".

Um möglichst viele Menschen hinters Licht zu führen, gaben sich die Apps als QR-Scanner, PDF-Scanner oder Krypto-Wallets aus und nutzten mehrere Tricks, um Googles Beschränkungen zu umgehen, mit denen die Verbreitung betrügerischer Apps eingedämmt werden soll.

Harmlos ausgeliefert

"Was die Erkennung dieser Google-Play-Verbreitungskampagnen aus Sicht der Automatisierung und des maschinellen Lernens sehr schwierig macht, ist die Tatsache, dass die Dropper-Apps alle einen sehr kleinen bösartigen Fußabdruck haben", schreiben die Forscher in einem Blogbeitrag. Dieser sei direkte Folge von Googles Zulassungsbeschränkungen.

Deshalb würden anfangs harmlose Apps ausgeliefert. Erst nach Installation, wenn die User bereits Vertrauen aufgebaut haben, werden sie zum Herunterladen von Updates von Drittanbietern aufgefordert. Bei den wenigsten Apps erkannte Googles Virenscanner Virustotal Malware.

"Diese unglaubliche Aufmerksamkeit darauf, sich unerwünschter Aufmerksamkeit zu entziehen, macht die automatische Malware-Erkennung weniger zuverlässig", erklärt Thread Fabric. "Diese Überlegung wird durch die sehr niedrige VirusTotal-Gesamtbewertung der neun Dropper, die wir in diesem Blogpost untersucht haben, bestätigt", heißt es weiter.

Konto leergeräumt

Für die meisten Infektionen ist die Schadsoftware-Familie Anatsa verantwortlich. Dabei handle es sich um einen "ziemlich fortschrittlichen Banking-Trojaner" mit einer Vielzahl an Funktionen. Darunter die Möglichkeit des Fernzugriffs und automatischer Überweisungssysteme, die die Konten der Opfer leerräumen.

Auf Anfrage verwies Google die Berichterstatter auf einen Blogpost vom April, in dem das Unternehmen die eigenen Methoden zur Erkennung bösartiger Apps im Play Store beschreibt. (red, 1.12.2021)