Meta, der Mutterkonzern des weltweit größten Social Networks Facebook, hat 400 Apps auf den mobilen Betriebssystemen Android und iOS identifiziert, die über die "Einloggen mit Facebook"-Funktion die Nutzernamen und Passwörter ihrer Opfer ausspioniert haben. Meta hat Apple und Google über das Problem informiert und die rund eine Million betroffenen Facebook-User benachrichtigt.

Die Apps waren in Googles Play Store und in Apples Play Store gelistet und versprachen eine große Bandbreite an Funktionen – von Fotodeditoren über Spiele bis hin zu Business-Apps und VPN-Services. Manche der Apps versprachen, "Porträts in Comics zu verwandeln", andere sollten das Licht des Kamerablitzes aufhellen. Bei wieder anderen handelte es sich um Horoskop-Apps oder um angebliche Fitnesstracker.

Die besagten Apps wurden bereits aus den Android- und iOS-Stores entfernt, heißt es seitens Meta. Das hilft natürlich wenig, wenn man die App bereits heruntergeladen und sich dort eingewählt hat. Daher stellt das Unternehmen unter diesem Link eine Liste aller entdeckten betrügerischen Apps zur Verfügung.

Wie die bösartigen Apps arbeiten

Die Übeltäter entwickeln Apps, die eine lustige oder nützliche Funktion versprechen und veröffentlichen diese in den Stores der mobilen Betriebssysteme. Warnende Stimmen in den Stores unterdrücken sie, in dem sie mit Zweit-Accounts etliche positive Fake-Bewertungen erstellen.

Lädt das Opfer die App herunter, so wird es anschließend gebeten, die "Login with Facebook"-Funktion zu nutzen, um sich zu registrieren und die versprochenen Funktionen nutzen zu können. Gibt man hier die eigenen Daten ein, so stiehlt die Malware Nutzername und Passwort.

Mit diesen Log-in-Daten können die Kriminellen sich in den Account des Opfers sowie in zahlreiche andere Apps einloggen, weitere persönliche Informationen auslesen und Spam an die Kontakte des Opfers verschicken.

Wie man sich schützt

Seitens Meta betont man, dass es sehr wohl zahlreiche "gute" Apps gebe, bei denen die "Login with Facebook"-Funktion problemlos genutzt werden kann. Dennoch wird zu Vorsicht geraten, und bei den folgenden Punkten sollten laut Meta die Alarmglocken läuten:

• Sind Social-Media-Daten obligatorisch? Ist die App nicht nutzbar, ohne dass man sich mit Facebook einwählt? Skeptisch sollte man etwa bei einer Foto-App sein, die nicht ohne Login funktioniert.
• Welchen Ruf hat die App? Vor dem Herunterladen sollte man sich die Downloadzahlen und Bewertungen ansehen – und zwar auch gezielt die negativen.
• Versprochene Funktionen: Hält die App tatsächlich, was versprochen wurde?

Betroffenen Personen rät Meta, auf jeden Fall ein neues, starkes Passwort zu erstellen. Zudem wird zum Umstieg auf Zwei-Faktor-Authentifizierung geraten. Und schließlich sollen die Opfer vorsichtshalber die Log-in-Alerts aktivieren, bei denen sie benachrichtigt werden, wenn sich jemand von einem neuen Gerät in ihren Account einwählt. (stm, 9.10.2022)