Trojaner in Android-Apps mit 5 Mio. Downloads stehlen Facebook-Login-Daten

Sicherheitsforscher von Dr. Web sind einer Reihe von Android-Apps im Google Play Store auf die Schlichte gekommen, weil dieses die Facebook-Login-Daten der betreffenden Benutzer abgreifen und an die Entwickler weiterreichen. Die Apps sind nicht so populär, können aber auf über 5 Millionen Downloads blicken. Hier ein grober Überblick zum Thema.

Die Malware-Analysten von Doctor Web sind laut diesem Artikel vom 1. Juli 2021 im Google Play auf bösartige Android-Apps gestoßen, die die Logins und Passwörter von Facebook-Nutzern stehlen. Diese Stealer-Trojaner tarnen sich als harmlose Android-App und wurden mehr als 5.856.010 Mal installiert.Insgesamt wurden zehn dieser Trojaner-Apps, davon die nachfolgenden neu Apps im Google Play gefunden:

• Eine Fotobearbeitungssoftware namens Processing Photo. Sie wird von Dr.Web Anti-Virus als Android.PWS.Facebook.13 erkannt und wurde von dem Entwickler chikumburahamilton verbreitet. Diese App wurde über 500.000 Mal installiert.
• Anwendungen, die Zugriffsbeschränkungen für die Nutzung anderer auf Android-Geräten installierter Software ermöglichten: App Lock Keep vom Entwickler Sheralaw Rence, App Lock Manager vom Entwickler Implummet col und Lockit Master vom Entwickler Enali mchicolo – alle wurden als Android.PWS.Facebook.13 erkannt. Sie wurden jeweils mindestens 50.000, 10 und 5.000 Mal heruntergeladen.
• Rubbish Cleaner vom Entwickler SNT.rbcl – ein Dienstprogramm zur Optimierung der Leistung von Android-Geräten. Es wurde über 100.000 Mal heruntergeladen. Dr.Web erkennt es als Android.PWS.Facebook.13.
• Astrologie-Programme Horoscope Daily vom Entwickler HscopeDaily momo und Horoscope Pi vom Entwickler Talleyr Shauna, ebenfalls als Android.PWS.Facebook.13 erkannt. Ersteres hatte mehr als 100.000 Installationen, während letzteres mehr als 1.000 Installationen hatte.
• Ein Fitnessprogramm namens Inwell Fitness, das als Android.PWS.Facebook.14 vom Entwickler Reuben Germaine entdeckt wurde. Es hat mehr als 100.000 Installationen.
• Eine Bildbearbeitungs-App namens PIP Photo, die vom Entwickler Lillians verbreitet wurde. Seine verschiedenen Versionen werden als Android.PWS.Facebook.17 und Android.PWS.Facebook.18 erkannt. Diese App hat über 5.000.000 Downloads.

Nachdem die Sicherheitsforscher von Doctor Web die Apps an Google gemeldet hatten, wurde ein Teil dieser bösartigen Anwendungen aus Google Play entfernt. Zum Zeitpunkt dieser Meldung waren jedoch einige Apps noch zum Download verfügbar.

(Quelle: Dr. Web)

Bei der Analyse dieser Stealer-Trojaner entdeckten die Sicherheitsforscher eine frühere Modifikation, die unter dem Deckmantel einer Bildbearbeitungssoftware namens EditorPhotoPip über Google Play verbreitet wurde. Diese wurde bereits aus dem offiziellen Android-App-Store entfernt, ist aber immer noch auf Software-Aggregator-Websites verfügbar. Diese Modifikation wurde als Android.PWS.Facebook.15 in die Virendatenbank von Dr.Web aufgenommen.

Während es sich bei Android.PWS.Facebook.13, Android.PWS.Facebook.14 und Android.PWS.Facebook.15 um native Android-Apps handelt, nutzen Android.PWS.Facebook.17 und Android.PWS.Facebook.18 das für die plattformübergreifende Entwicklung konzipierte Flutter-Framework. Trotzdem können sie alle als Modifikationen desselben Trojaners angesehen werden, da sie identische Konfigurationsdateiformate und identische JavaScript-Skripte verwenden, um Benutzerdaten zu stehlen. Weitere Details lassen sich dem Dr. Web-Beitrag entnehmen.