Pressemitteilung -

Trojaner-Backdoor: ESET entdeckt infizierte Spiele-Apps im Google Play Store

Der europäische Security-Software-Hersteller ESET macht auf einen außergewöhnlichen Angriff auf Android-Nutzer aufmerksam. Cyberkriminelle nutzten Ende 2014 Fake-Versionen von populären Spiele-Apps wie „Plants vs. Zombies“ oder „Candy Crush“ als Tarnung, um den Trojaner Android/Mapin tief in die mobilen Systeme der nichts ahnenden Opfer einzuspeisen. Besonders heikel: Durch eine ausgefeilte Tarnungs-Strategie war die Schadsoftware dazu in der Lage, die automatische Malware-Überprüfung von Google namens „Google Bouncer“ zu umgehen und die Spiele über den offiziellen Google Play Store zu verbreiten. Erst einige Zeit und mehrere Tausend Downloads später entfernte Google die bösartigen Apps aus dem Play Store und verbesserte die Sicherheitsvorkehrungen.

Google Bouncer geschickt getäuscht

Der Trojaner nutzte die Namen populärer Spiele-Apps für die schnelle Verbreitung über den Google Play Store und alternative Android App-Marktplätze. Dabei handelte es sich unter anderem um die folgenden Titel, die teils mit inkonsistenten App-Logos und absichtlichen Tippfehlern im Namen versehen waren:

  • Plants Vs Zombies
  • Plant vs Zombie
  • Temple Run 2 Zoombie
  • USubway Suffer
  • Traffic Racer
  • Super Hero Adventure
  • Candy crush
  • Jewel Crush
  • Racing rivals

Schadhafte Komponenten erst nach Tagen aktiv

Die Spiele sind voll funktionsfähig und verleiten das Opfer nicht dazu, einen Verdacht zu schöpfen. Auch dauert es eine Weile bis die schadhaften, an das Spiel geknüpften Funktionen zum Leben erwachen:

„Einige Varianten von Android/Mapin benötigen bis zu drei Tage, um den vollen Funktionsumfang des Trojaners zu erhalten. Dies dürfte einer der Gründe dafür sein, dass die integrierte Downloader-Routine dazu in der Lage war, das Google Bouncer-Sicherheitssystem zu umgehen“, kommentiert ESET Malware-Forscher Lukáš Štefanko die Wirkungsweise der Malware.

Nachdem die Schadsoftware aktiviert wurde, gibt sie vor, ein Google Play-Update oder eine Applikation namens „Manage Settings“ zu sein und verlangt weitreichende Administrations-Zugriffe, die tief ins System reichen. Bricht der Nutzer die Installation ab, erscheint das Dialogfeld so oft wieder, bis die Änderungen letztlich bestätigt werden – gewährt der Nutzer die erfragten Rechte, wird das infizierte Android-Gerät Teil eines großen Botnetzes, das von den Angreifern aus der Ferne gesteuert werden kann. Die Folge: ungefragter Download sowie Installation von ungewünschten Applikationen, Ausschnüffeln von privaten Daten wie Klarnamen, IMEI-Nummer und Google-Account-Infos, sowie die Anzeige von Vollbild-Werbeanzeigen auf dem infizierten Gerät.

Über 10.000 Downloads

Die befallenen Android-Spiele Apps wurden zwischen dem 24. und 30. November 2013 sowie dem 22. November 2014 in den Google Play Store gestellt. Bevor Google die Schadsoftware aus dem Store entfernte, wurde beispielsweise die gefälschte „Plants vs. Zombies“-App bereits über 10.000 Mal heruntergeladen.

Um sich bei der Installation von Apps aus dem Google Play Store vor bösen Überraschungen zu schützen, empfiehlt sich stets ein Blick auf die jeweiligen App-Entwickler. Wirken diese wenig vertrauenserweckend, sollte man von einer Installation absehen oder mindestens einen genauen Blick auf die Berechtigungen werfen, die von der App nach der Installation eingefordert werden. Eine aktuelle Security-Software wie die ESET Mobile Security kann dabei helfen, Android-Geräte zuverlässig vor Bedrohungen zu schützen.

ESET teilt eine tiefgehende technische Analyse des Angriffs-Szenarios auf seinem Security-Blog WeLiveSecurity.

UPDATE:

"ESET has recently published research on trojan that affected several gaming apps on Android platform. After carefully reviewing our original blogpost and accompanying press release, we are providing an explanation of the facts, since they have been misinterpreted:

The authors of the Mapin trojan have taken legitimate clean code of popular games, added malicious code and uploaded a new package to Google Play, as well as alternate Android app stores. The application names were chosen intentionally to resemble the genuine apps. The code was distributed under a different developer name, and was not signed using the official release code signing certificate belonging to the legitimate companies, such as King. Also, the clean versions of the applications on the Google Play store were not affected. It is a very common malware technique to parasitize on the popularity of legitimate applications.

These apps were not connected to the genuine gaming apps like Candy Crush Saga (produced by the King company). After careful review of our blogpost and accompanying press release in order to prevent further misunderstandings we have adjusted our blogpost, press release on ESET HQ communication channels – as well as on local websites such as in India which are operated by separate partner companies and with local content. We apologize for inconvenience caused by the phrasing to the genuine gaming companies. At ESET we are putting in place another review layer for our content, so such misunderstanding does not repeat in the future.”

Folgen Sie ESET:

http://www.ESET.de

http://www.welivesecurity.de/

https://twitter.com/ESET_de

https://www.facebook.com/ESET

Themen

  • Computersicherheit

Kategorien

  • malware
  • eset
  • antivirus
  • google play
  • apps

ESET ist ein weltweiter Anbieter von IT-Sicherheitslösungen für Unternehmen und Privatanwender. Der Entwickler der preisgekrönten NOD32-Technologie gilt als Vorreiter in der proaktiven Bekämpfung selbst unbekannter Viren, Trojaner und anderer Bedrohungen. ESET ist auf diesem Gebiet seit über 25 Jahren führend. 

Im Juni 2013 wurde ESET NOD32 Antivirus zum 80. Mal vom Virus Bulletin mit dem VB100 Award ausgezeichnet und ist damit Rekordhalter. Darüber hinaus hat die NOD32-Technologie im Vergleich zu Produkten anderer AV-Hersteller die längste Zeit in Folge den VB100 Award erhalten. Auch AV-Comparatives, AV-TEST und weitere Organisationen haben ESET bereits ausgezeichnet. 

Millionen von Nutzern vertrauen ESET NOD32 Antivirus, ESET Smart Security, ESET Cyber Security (Antivirenprogramm für Macs), ESET Mobile Security und IT Security for Business. Die Produkte zählen weltweit zu den am häufigsten empfohlenen Sicherheitslösungen.

ESET hat seine Zentrale in Bratislava (Slowakei) und besitzt regionale Vertriebszentren in San Diego (USA), Buenos Aires (Argentinien) und Singapur. In Jena (Deutschland), Prag (Tschechische Republik) und Sao Paulo (Brasilien) unterhält das Unternehmen eigene Niederlassungen. Außerdem verfügt ESET über Forschungszentren zur Malware-Bekämpfung in Bratislava, San Diego, Buenos Aires, Singapur, Prag, Košice (Slowakei), Krakau (Polen), Montreal (Kanada) und Moskau (Russland) sowie über ein Netz exklusiver Distributoren in mehr als 180 Ländern weltweit.

Kontakt

Geben Sie Ihre E-Mail-Adresse ein, um ESET zu folgen.

Wenn Sie sich dafür entscheiden, ein Benutzerkonto zu erstellen und einem Newsroom zu folgen, werden Ihre persönlichen Daten von uns und dem Eigentümer des Newsrooms verwendet, damit Sie Nachrichten und Updates gemäß Ihren Abonnementeinstellungen erhalten.

Um mehr darüber zu erfahren, lesen Sie bitte unsere Datenschutzerklärung, die für die Verwendung Ihrer persönlichen Daten gilt, sowie unsere Datenschutzerklärung für Contacts, die für die Nutzung Ihrer persönlichen Daten durch den Eigentümer der Newsrooms gelten, denen Sie folgen.

Bitte beachten Sie, dass unsere Nutzungsbedingungen für die Inanspruchnahme all unserer Dienste gelten.

Sie können Ihre Zustimmung jederzeit widerrufen, indem Sie Ihr Konto kündigen oder löschen.
Posteingang überprüfen

E-Mail an __email__ gesendet. Bitte klicken Sie den Bestätigungslink, um ESET zu folgen.

OK