Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten

[English]Im Türchen mit der Nummer 6 meines Security Adventskalenders habe ich dieses Mal etwas zu Malware in Android-Apps versteckt. Über Facebook bin ich auf den Fall der Android-App Barcode Scanner Lite aufmerksam geworden. Die scheint bei einem der letzten Updates mit einem Adware-Trojaner verseucht worden zu sein. Bei betroffenen Nutzern öffnen sich auf den Handys plötzlich zufällige Webseiten in der Browser App. Hier eine kurze Aufbereitung des Falls.


Anzeige

Ein Hinweis auf Facebook

Ich bin am Samstag zufällig auf Facebook in einer Gruppe für Sicherheitsfragen auf den Post eines Blog-Lesers gestoßen, der bei mir sofort die Alarmglocken läuten ließ. Denn ich habe spontan an den Lieferkettenangriff auf die Gigaset Android-Update-Server in China gedacht, die die Leserschaft Ostern in Atem hielt (siehe Gigaset Android-Update-Server liefern vermutlich Malware aus und die am Artikelende verlinkten Beiträge). Aber die Beschreibung des Betroffenen gab nicht so viel her.

Ich habe auf meinem Arbeitshandy (Android) seit ca. 14 Tagen das Phänomen, dass sich ständig, auch wenn das Handy im Standby ist, Tabs im Browser mit komischen Seiten öffnen.

Dass ich irgendwas komisches abgetippt hätte kann ich recht sicher ausschließen, da ich das Handy nur sehr selten nutze und wenn dann nur zum Telefonieren oder selten Mal WhatsApp.

Seit heute passiert das gleiche auf meinem Privathandy (Android). Sporadisch öffnen sich komische Adressen im Browser.

Unerwünschte Apps kann ich im Systemmenü unter Apps und auch im Playstore nicht sehen.

Hat jemand eine Idee wo das herkommt?

Auf meine Nachfrage per PM gab es die Rückmeldung (danke an den Leser für die Infos), dass das beruflich genutzte Smartphone ein Honor 6C Pro von Huawei sei. Dort schoss mir sofort der Blog-Beitrag Cynos Android-Malware infiziert mehr als 9 Millionen Huawei-Smartphones durch den Kopf. Der Betroffene gab aber an, dass er den Huawei-Store nie benutzt habe.

Zudem gab der Betroffene an, dass das private Handy ist ein realme 8 von oppo mit Android 11 sei. Also fiel die Huawei-Theorie schon mal flach – und ein Lieferkettenangriff wie oben bei Gigaset erschien mich auch unwahrscheinlich. Ab dieser Stelle hätte ich auf eine App getippt, die dieses Verhalten erzwingt.

Websites


Anzeige

Der Betroffene hat mir dann den obigen Screenshot geschickt und schrieb: Solche Seiten öffnen sich sporadisch im Browser. Auch wenn das Handy ungenutzt im Standby ist, über den ganzen Tag verteilt, auch nachts.

Die App finden

Der Betroffene schrieb auf meine Nachfrage, dass er diverse Apps verwendet, wobei eigentlich nichts ungewöhnliches drunter sei. Alle Apps seien aus dem Google Play Store installiert worden. Als Browser würde auf beiden Geräten der Google Chrome in der aktuellen Version verwendet. Der Betroffene schreibt auch, dass er sich nicht daran erinnern könne, irgendwas fragwürdiges abgetippt zu haben. Nur Links aus Facebook, die im Browser geöffnet werden, könnten noch irgend etwas schädliches auf das Gerät spülen. Hier war mir aktuell aber nichts bekannt, dass mal wieder Malware für Android auf Facebook verteilt werden.

Zudem hieß es, dass die Geräte auf dem aktuellsten verfügbaren Android und alle darauf genutzten Apps aktuell seien.  Der Betroffene gab zudem an, dass die Apps schon einige Jahre auf beiden Geräten und ihren Vorgängern ohne Probleme im Einsatz waren. Es gab In-App-Ads, aber nie das oben beschriebene Verhalten.

Android-Malware in QR Code Scanner

In dieser Situation ist es gut, das Smartphone per Antivirus-App auf Schadsoftware scannen zu lassen. Er hat Malwarebytes zum Scannen verwendet und es wurde der Schädling Android/Trojan.HiddenAds.AdQRtd in der Android-App QR Code Scanner gefunden. Malwarebytes hat diesen Namen vergeben und schreibt hier:

Android/Trojan.HiddenAds ist der generische Erkennungsname von Malwarebytes für eine große Familie von Trojanern, die sehr häufig auf Android-Geräten zu finden sind.

Symptome: Aggressive Werbung wird angezeigt und es ist für den Endbenutzer schwierig zu erkennen, welche App sie anzeigt. Die Werbefunktion ist versteckt und der Benutzer wird während der Installation nicht auf die Werbung aufmerksam gemacht.

Bei der App handelt es sich nach Aussage des Betroffenen konkret um Barcode Scanner Lite von Tech digital (siehe folgendes Bild) mit über 1 Million Downloads.

Barcode Scanner Lite

Die App wurde am 9.11.2021 letztmalig aktualisiert. Der Betroffene schreibt: Diese App hat seit dem letzten Update im November 2021 angefangen diese merkwürdigen Adressen im Browser zu öffnen, lässt sich auch in den Bewertungen nachvollziehen. Geht man im Google Play Store in die Bewertung, fallen dort folgende Aussagen auf:

P B; 1. Dezember 2021: Öffnet seit letztem Update ohne eigenes Zutun wiederholt dubiose Werbung. App deinstalliert, seit mehreren Tagen ist nun Ruhe …

Dirk Eul; 27. November 2021: Installiert Adware mit. Aufpassen!

Der Entwickler schreibt zwar:

Unsere App ist absolut kostenlos! Wir haben Werbung und diese befindet sich an speziell dafür vorgesehenen Stellen. Die PRO-Version ist werbefrei und enthält ebenfalls interessante Funktionen. Mit freundlichen Grüßen, Entwickler

Aber das hilft Betroffenen nicht – das oben skizzierte Verhalten ist nicht tolerabel. Das Beispiel zeigt wieder einmal, wie schnell man sich auch bei Android Apps aus dem Google Play Store etwas einfangen kann.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Neues zum Malwarebefall bei Gigaset Android-Smartphones
Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones

Huawei Smartphone-Apps mit Joker-Malware verseucht
Cynos Android-Malware infiziert mehr als 9 Millionen Huawei-Smartphones
Video Encoder für HiSilicon-Chips (Huawei) mit schweren Sicherheitslücken
Sicherheitsinfos: Wacom, HiSilicon/Huawei … (6. Februar 2020)

Sicherheitslücke in Huawei Webseite gefährdete Kundendaten


Anzeige

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten

  1. Dat Bundesferkel sagt:

    Kannst Du übrigens auch auf die App "Barcode Scanner" von 2Xing Team ausdehnen, lt. den Bewertungskommentaren vom Juni wurde / wird da dieselbe Masche abgezogen.

    Was lernen wir daraus: Kostenlos und Free gibt es unter Android nicht, wenn der Google Playstore zum Einsatz kommt.

    Und danke für die Info. Auch wenn nicht aktuell installiert, so habe ich den Müll der Hersteller gleich aus meiner Mediathek entfernt.

    • Zocker sagt:

      "Was lernen wir daraus: Kostenlos und Free gibt es unter Android nicht, wenn der Google Playstore zum Einsatz kommt."

      Eine dümmere Aussage konnte man an dieser Stelle nicht treffen.

    • Josxx sagt:

      Hi "Dat Bundesferkel" :-)
      wie kommst Du da drauf daß die App "Barcode Scanner" von 2Xing Team ebenso betroffen ist?
      Die im PlayStore verfügbare und auf meinem Handy installierte Version ist 4.7.8 und wurde seit dem 09.09.2018 nicht mehr aktualisiert.
      Weder "Malewarebytes" noch "Virustotal" melden mir aktuell irgendwelche Auffälligkeiten.
      Natürlich kann ich nicht ausschließen, daß da nicht auch seit 2018 ein Trojaner vergraben ist (obwohl kein Tools was findet), aber in jedem Fall scheint dieses Programm nicht mit dem aktuellen "Adware-Trojaner" verseucht zu sein.

  2. 1ST1 sagt:

    Die App hatte ich auch mal kurz drauf, und habe das mit der Werbung gleich gemerkt und sie wieder runter geschmissen. Dass ich die installiert hatte, kam so, dass auf meinem Xiaomi auf einmal die integrierte Mi-Barcode-Scanner-App weg war. Das Xiamoi hat so ein Schnellstartmenü was man von oben herein streichen kann, und darin ist dieses Barcode-Scanner-Symbol, ab und zu braucht man sowas ja mal, aber das funktionierte auf einmal nicht, es gab immer nur eine Fehlermeldung, dass die App nicht vorhanden ist. Im Playstore war sie auch nicht zu finden, also musste ich eine andere benutzen. Meine Wahl führte natürlich zu der mit der besten Bewertung und kostenlos.

    Man muss da sehr vorischtig sein, solche kleinen Helfer, die eigentlich überall im Smartphone vorhanden sein sollten, finden sich zuhauf im Playstore, nicht nur Barcode-Scanner, sondern auch alternative Adress- oder Kamera-Apps, usw. Und die müssen um zu funktionieren teils umfangreiche Zugriffsrechte haben, auf Kamera, Adressen, usw., und dann ist es natürlich naheliegend, dass man solche Apps in dem Playstore einschleust, um Spam zu verbreiten und Persönliches abzugreifen.

    Letztlich fand ich in einem alternativen Appstore für Android die originale APK-Datei von Xiaomi, und nachdem ich die auf dem PC schnellgecheckt habe, habe ich sie auf dem Handy eingespielt und kann wieder die Originalverknüpfung aus dem Schnellstartmenü verwenden, und es spamt nichts.

    • Zocker sagt:

      "…dass man solche Apps in dem Playstore einschleust, um Spam zu verbreiten und Persönliches abzugreifen."
      "… auf meinem Xiaomi"

      In dem Fall brauchst du dir über Datensammler keine Sorgen mehr zu machen. Das erledigt bereits Xiaomi von Haus aus.

      • Johannes sagt:

        "…Apps in dem Playstore einschleust"

        In dem Fall brauchst Du Dir über Datensammler keine Sorgen mehr zu machen. Das erledigt bereits Google von Haus aus.

        Der "Google Play Store" benötigt die "Google Play Dienste", vielleicht mal die Berechtigungen der "Google Play Dienste" App anschauen, die sich übrigens gerne auch selbst und von alleine ganz ausserhalb des Play Stores aktualisiert…

        play.google.com/store/apps/details?id=com.google.android.gms&hl=de

        • Zocker sagt:

          Du musst nicht alle Berechtigungen geben. Zudem kannst du mit Root auch einzelne Dienste von Apps (z.B. Telemetrie) deaktivieren. Man kann da durchaus was machen.
          Ganz wird man es nicht los, aber man kann es zumindest einschränken. Und bei Xiaomi hast du halt eine Krake mehr. Das wollte ich damit sagen.

  3. Anonymous sagt:

    mich würde ja mal interessieren, ob Googles eigener "Play Protect" Dienst diese App beim scannen erkannt hätte

    • Zocker sagt:

      Ich denke nicht, sonst wäre sie nicht im Playstore. Jedenfalls macht es keinen Sinn, eine App, die von Googles Play Protect negativ eingestuft wird, im Playstore anzubieten. Auf Play Protect würde ich auch nicht vertrauen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.