Mobile Apps, die mit Download-Zahlen in Millionenhöhe aufwarten können, ziehen auch das Interesse von Cyberkriminellen auf sich. So jüngst geschehen mit dem populären Spiel „Among us“, von dem nun eine gefälschte Version entdeckt wurde. Die Sicherheitsforscher des ThreatLabZ-Teams von Zscaler warnen aktuell vor „Amoungus“.

Hier wurde mit dem Namen gespielt und ein „o“ von Cyberkriminellen hinzugeschummelt, die auf der Erfolgswelle mitschwimmen wollen und unachtsame Anwender auf der Suche nach der App in die Falle locken.

Nach der Installation zeigt Amoungus einige gefälschte Download- und Verarbeitungsaktivitäten an, so dass der User glaubt, dass das Spiel geladen wird mit Funktionen, die für sein Android-Gerät erforderlich sind.

Auf die Möglichkeit zum Spielen wartet der Anwender allerdings vergeblich, denn bei der gefälschten App handelt es sich lediglich um Adware, die den User mit Werbung bombardiert. Nachgelagert erhält die Fake-App das Potenzial, Gmail-Anmeldeinformationen abzugreifen.

Diese Funktionalität befindet sich allerdings noch im Entwicklungsstadium und könnte mit zukünftigen Updates aktiviert werden. Eine solche Funktionalität könnte den Angreifern den Zugriff auf große Mengen persönlicher und finanzieller Informationen ermöglichen.

Ein solches Vorgehen kann auch darauf hindeuten, dass die Angreifer einer Erkennung ihrer Aktivitäten in Google Play verhindern möchten, da die aktuelle Version der Anwendung keine Daten stiehlt, spätere Updates diese Funktionalität aber enthalten können.

Wie in der Abbildung dargestellt, handelt es sich bei der linken Graphik um das eigentliche Spiel (mit rund 100 Millionen Downloads) und bei der rechten um die gefälschte App. Die App sendet auch Details über das Gerät des Benutzers an den Server. Einige der Details umfassen:

  • Android SDK Version
  • Android Model
  • Network Operator Name
  • Gerätehersteller
  • Aktivitätslevel des Geräts
  • Android Displaygröße
  • Zeitspanne seit dem letzten Reboot
  • RAM Status des Geräts

Weitere Untersuchungen ergaben, dass der Entwickler des Fakes andere gefälschte Apps in Google Play eingestellt hatte, die einem ähnlichen Vorgehen folgten und beliebte Apps imitierten.

Zunächst werden Videos abgespielt, die die Download- und Verarbeitungsaktivität anzeigen und im Nachgang wird der Nutzer wird mit Anzeigen und mit Eingabeaufforderungen für die Google Mail-ID und das Passwort bombardiert. Dieses Vorgehen trifft unter anderem auf die folgenden gefälschten Apps zu mit Anzahl ihrer Downloads:

  • Fauji-Spiel:10.000+
  • Lite for Resident Evil: 10.000+
  • Amoungus: 5.000+
  • Battle Royale Action-Spiel: 5.000+

Aufgrund der Spielnamen scheinen sich die Entwickler auf indische Benutzer zu konzentrieren.

Schlussfolgerung und Tipps
Trotz Googles Bemühungen gelingt es Kriminellen immer noch, potenziell unerwünschte Anwendungen (PUAs) im Google Play Store zu platzieren. Während Google sein Bestes gibt, Android-Nutzer weltweit zu schützen, liegt es auch in der Verantwortung der User, bei der Installation von Apps vorsichtig zu sein. Um das Herunterladen von PUAs zu vermeiden:

  • Vor der Installation einer App unbedingt die Bewertungen anderer User lesen.
  • Vorsicht walten lassen bei der Vergabe von Berechtigungen, die eine Anwendung möglicherweise verlangt. Es macht zum Beispiel keinen Sinn, wenn eine Taschenrechneranwendung nach der "READ_SMS"-Berechtigung fragt.
  • Deaktivieren der Option „Unbekannte Quellen“, so dass eine zufällige Anwendung keine Anwendungen von Drittanbieterquellen im Nachgang installieren kann.
  • Wenn sich eine App nicht wie beschrieben verhält, sollte sie sofort deinstalliert werden und Meldung an Google gegeben werden

Weitere Beiträge....