Neue Android-Malware geht shoppen – auf Ihre Kosten

25.07.2012
G DATA Blog

Es ist nichts Neues, dass der Trend bei Android-Schädlingen dahingehend tendiert, das Geld der Nutzer zu ergaunern. Bisher beschränkte sich das auf Premium-SMS und gebührenpflichtige Anrufe. Doch nun gibt es eine neue Masche.

Die Malware-Autoren implementieren diesen Trojaner in gefälschte Kopien beliebter Apps wie GO Weather, Travel Sky oder EStrongs File Explorer. Die befallenen Anwendungen werden über diverse chinesische Webseiten und App-Markets von Drittanbietern verbreitet.

MMarketPay.A hat es auf die Kunden des weltweit größten Mobilfunkanbieters China Mobile abgesehen. Nach der Installation der trojanisierten App ändert der Trojaner den APN des Gerätes zu CMWAP, den Access Point von China Mobile. Der Schädling ist so in der Lage, ohne Anmeldung jederzeit auf den App-Store von China Mobile, der zu den weltweit größten zählt, zuzugreifen und automatisch Apps auf Kosten des Opfers einzukaufen, darunter auch solche, die ebenfalls infiziert sind. Er kann natürlich auch legitime Apps kaufen.

Erhält der Benutzer auf seinem Smartphone eine SMS zur Bestätigung eines Kaufs, fängt der Trojaner  diese ab und leitet sie an einen Remote-Server weiter, der eine entsprechende Antwort bereitstellt. Wenn ein Captcha Bestandteil des Verifikationsprozesses ist, wird dieses an den Remote-Server weitergeleitet und analysiert. Im letzten Schritt wird die erworbene App heruntergeladen und installiert. Welche Apps letztendlich heruntergeladen werden, hängt davon, mit welchen Befehlen der Trojaner ausgestattet ist.

Auch wenn MMarketPay.A – zum Zeitpunkt, als dieser Artikel geschrieben wurde – nur über chinesische Webseiten und App-Markets verbreitet wurde, sieht es für die Zukunft finster aus. Dieser Angriff besitzt das Potenzial einer weiten Verbreitung, da er neue Wege eröffnet, mit Malware Geld zu verdienen. Zahlreiche europäische und amerikanische Unternehmen, die App-Stores betreiben, haben ihre Anmeldeverfahren vereinfacht, was Cyberkriminelle zum Missbrauch einlädt. Der Nutzer eines infizierten Smartphones bemerkt den Kauf der Apps erst, wenn er die Rechnung erhält. Deshalb müssen sich Nutzer und Shop-Betreiber noch intensiver mit möglichen Gefahren und Bedrohungen auseinandersetzen.

Gegenmaßnahmen

  • Verwenden Sie eine umfassende Sicherheitslösung wie G DATA MobileSecurity Version 2 für Android.
  • Beziehen Sie Apps nur aus vertrauenswürdigen Quellen.
  • Suchen Sie in einem App-Market nach Benutzerbewertungen und -kommentaren.
  • Google Play zeigt auch die von der App benötigten Berechtigungen an. Diese sollten Sie selbst prüfen und evaluieren.
  • Ignorieren und klicken Sie keine Mitteilungen, deren Ursprung sie nicht nachvollziehen können. Überprüfen Sie diese online auf ihre Richtigkeit hin oder kontaktieren Sie den Kundenservice ihres Providers.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein