Malware Viking Horde hat Googles Kontrollen mehrfach ausgetrickst

Check Point hat vor mehreren, mit der Malware Viking Horde infizierten Apps in Google Play gewarnt. Seit der ersten Entdeckung vor knapp einem Monat haben es dem Sicherheitsanbieter zufolge mindestens fünf unterschiedliche, mit der Malware versehene Apps geschafft, Googles Malware-Prüfungen zu umgehen. Wird eine davon auf einem Smartphone installiert, wird das Gerät Teil eines Botnet, über das die Hintermänner mittels Klickbetrug auf Online-Werbung Geld Einnahmen erzielen. Außerdem verschickt die Malware offenbar auch SMS-Nachrichten an teure Premium-Nummern.

Zusätzlich verschafft sich die Malware vollständigen Zugriff auf mehrere Bereiche des Geräts. Sie könnte laut Check Point daher auch Daten stehlen. Bei gerooteten Smartphones und Tablets, lädt Viking Horde zudem Komponenten nach, die es dann nahezu unmöglich machen, das eigentliche Schadprogramm zu entfernen.

Google wurde von Check Point am 5. Mai über Viking Horde informiert. Einige der damit infizierten Apps, etwa Viking Jump, sind im Play Store aber immer noch im erhältlich. Viking Jump wurde seit 15. April auf bis zu 100.000 Geräten installiert. Als Hinweis auf Malware nennt Check Point bei Apps generell die Anforderung von Root-Rechten. Das sei ein “seltsames Verhalten” und sollte misstrauisch machen.

Im September 205 hatte Check Point bereist einmal auf Malware im Play Store hingewiesen. Damals steckte sie in der Spiele-App Brain Test. Die war zweimal im Play Store veröffentlicht worden und kam Check Point zufolge jeweils auf 100.000 bis 500.000 Downloads. Die Malware mit Rootkit-Eigenschaften wurde am 24. August erstmals aus dem Play Store entfernt. Danach schleusten die Hintermänner sie mithilfe eines Packers von Baidu erneut erfolgreich in den Google-Marktplatz ein. Diese Version wurde dann erst am 15. September von Google aus dem Play Store entfernt.

Grundsätzlich haben sich die Kontrollen von Google nach Ansicht von Experten seit Einführung des automatischen Scanners “Bouncer” deutlich verbessert. Lukas Stefanko, Malware Researcher bei Eset, erklärte etwa im Mai vergangenen Jahres: “Es ist heutzutage nicht einfach, gefährliche Apps in Googles offiziellen Play Store einzuschleusen”. Dennoch schaffen es einige Kriminelle immer wieder die Kontrollen auszutricksen, etwa mit gefälschten Minecraft-Apps oder auch aggreesiver Adware. Die schaffte es einem Bericht von Bitdefender zufolge dadurch die Kontrollen auszutricksen, dass über die URL, die Nutzer umleitete, selbst keine schädlichen .apk-Dateien verbreitet wurden. Diese dient vielmehr lediglich der Umleitung des Browsers auf eine eigens dafür angelegte URL, vn der aus Nutzer dann jedoch von einer Werbe-Website auf die nächste geschickt wurden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de