Das Sicherheitsunternehmen Check Point hat mehrere schädliche Apps in Google Play entdeckt, die Googles initiale Prüfungen unterlaufen haben. Die Apps geben sich zunächst harmlos und kommen als VPN-Software, Media Player oder Barcode-Scanner daher. Diese Funktionalität haben die Macher aus legitimen Open-Source-Apps kopiert und unter einem Fake-Account neu bei Google Play eingestellt. So sind sie zunächst durch die Prüfung bei Play Protect gerutscht.

Nach einem Software-Update haben die Fake-Apps ihr Verhalten geändert und ein Malware-Dropper namens Clast82 wird aktiv. Der installiert zum Beispiel das Trojanische Pferd AlienBot, der Zugangsdaten fürs Online-Banking ausspioniert. Mit dem Remote Access Tool MRAT haben die Täter versucht, die Kontrolle über die betroffenen Smartphones zu übernehmen. So könnten sie etwa auch SMS-TANs abfangen.

Beim Herunterladen der Malware versuchen die Kriminellen, weitere Schutzvorkehrungen zu umgehen. Ist das Android-Gerät so konfiguriert, dass App-Downloads aus unbekannten Quellen blockiert werden, penetriert Clast82 die Benutzer im 5-Sekunden-Takt mit Aufforderungen, die Installation zuzulassen. Diese Aufforderungen sollen den Eindruck erwecken, sie kämen von Google Play.

Die Apps dieser Malware-Kampagne wurden zwar über verschiedene Entwickler-Accounts bei Google Play angeboten, alle weisen jedoch dieselbe Mail-Adresse auf und verweisen für die vorgeschriebene Datenschutzerklärung auf dasselbe GitHub-Repository. Mail-Adresse und Repository gehören laut Check Point zu derselben Person. Auch die Malware lädt Clast82 aus einem GitHub-Repository dieser Person.

Google hat inzwischen alle von Check Point als zu dieser Malware-Kampagne gehörend identifizierten Apps aus dem Play Store entfernt. Dieser Fall zeigt, dass die Prüfungen vor der erstmaligen Freigabe einer App in Google Play nicht reichen, um Malware von Android-Geräten fernzuhalten. Es ist also durchaus sinnvoll, Smartphones und Tablets mit zusätzlichen Schutzprogrammen abzusichern. (PC-Welt)