{"id":260208,"date":"2021-12-06T00:02:00","date_gmt":"2021-12-05T23:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260208"},"modified":"2022-02-07T17:18:09","modified_gmt":"2022-02-07T16:18:09","slug":"android-app-barcode-scanner-lite-mit-trojaner-ffnet-zufllige-webseiten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/06\/android-app-barcode-scanner-lite-mit-trojaner-ffnet-zufllige-webseiten\/","title":{"rendered":"Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten"},"content":{"rendered":"

[English<\/a>]Im T\u00fcrchen mit der Nummer 6 meines Security Adventskalenders habe ich dieses Mal etwas zu Malware in Android-Apps versteckt. \u00dcber Facebook bin ich auf den Fall der Android-App Barcode Scanner Lite<\/em> aufmerksam geworden. Die scheint bei einem der letzten Updates mit einem Adware-Trojaner verseucht worden zu sein. Bei betroffenen Nutzern \u00f6ffnen sich auf den Handys pl\u00f6tzlich zuf\u00e4llige Webseiten in der Browser App. Hier eine kurze Aufbereitung des Falls.<\/p>\n

<\/p>\n

Ein Hinweis auf Facebook<\/h2>\n

\"\"Ich bin am Samstag zuf\u00e4llig auf Facebook in einer Gruppe f\u00fcr Sicherheitsfragen auf den Post eines Blog-Lesers gesto\u00dfen, der bei mir sofort die Alarmglocken l\u00e4uten lie\u00df. Denn ich habe spontan an den Lieferkettenangriff auf die Gigaset Android-Update-Server in China gedacht, die die Leserschaft Ostern in Atem hielt (siehe Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> und die am Artikelende verlinkten Beitr\u00e4ge). Aber die Beschreibung des Betroffenen gab nicht so viel her.<\/p>\n

Ich habe auf meinem Arbeitshandy (Android) seit ca. 14 Tagen das Ph\u00e4nomen, dass sich st\u00e4ndig, auch wenn das Handy im Standby ist, Tabs im Browser mit komischen Seiten \u00f6ffnen.<\/p>\n

Dass ich irgendwas komisches abgetippt h\u00e4tte kann ich recht sicher ausschlie\u00dfen, da ich das Handy nur sehr selten nutze und wenn dann nur zum Telefonieren oder selten Mal WhatsApp.<\/p>\n

Seit heute passiert das gleiche auf meinem Privathandy (Android). Sporadisch \u00f6ffnen sich komische Adressen im Browser.<\/p>\n

Unerw\u00fcnschte Apps kann ich im Systemmen\u00fc unter Apps und auch im Playstore nicht sehen.<\/p>\n

Hat jemand eine Idee wo das herkommt?<\/p><\/blockquote>\n

Auf meine Nachfrage per PM gab es die R\u00fcckmeldung (danke an den Leser f\u00fcr die Infos), dass das beruflich genutzte Smartphone ein Honor 6C Pro von Huawei sei. Dort schoss mir sofort der Blog-Beitrag Cynos Android-Malware infiziert mehr als 9 Millionen Huawei-Smartphones<\/a> durch den Kopf. Der Betroffene gab aber an, dass er den Huawei-Store nie benutzt habe.<\/p>\n

Zudem gab der Betroffene an, dass das private Handy ist ein realme 8 von oppo mit Android 11 sei. Also fiel die Huawei-Theorie schon mal flach – und ein Lieferkettenangriff wie oben bei Gigaset erschien mich auch unwahrscheinlich. Ab dieser Stelle h\u00e4tte ich auf eine App getippt, die dieses Verhalten erzwingt.<\/p>\n

\"Websites\"<\/p>\n

Der Betroffene hat mir dann den obigen Screenshot geschickt und schrieb: Solche Seiten \u00f6ffnen sich sporadisch im Browser. Auch wenn das Handy ungenutzt im Standby ist, \u00fcber den ganzen Tag verteilt, auch nachts. <\/em><\/p>\n

Die App finden<\/h2>\n

Der Betroffene schrieb auf meine Nachfrage, dass er diverse Apps verwendet, wobei eigentlich nichts ungew\u00f6hnliches drunter sei. Alle Apps seien aus dem Google Play Store installiert worden. Als Browser w\u00fcrde auf beiden Ger\u00e4ten der Google Chrome in der aktuellen Version verwendet. Der Betroffene schreibt auch, dass er sich nicht daran erinnern k\u00f6nne, irgendwas fragw\u00fcrdiges abgetippt zu haben. Nur Links aus Facebook, die im Browser ge\u00f6ffnet werden, k\u00f6nnten noch irgend etwas sch\u00e4dliches auf das Ger\u00e4t sp\u00fclen. Hier war mir aktuell aber nichts bekannt, dass mal wieder Malware f\u00fcr Android auf Facebook verteilt werden.<\/p>\n

Zudem hie\u00df es, dass die Ger\u00e4te auf dem aktuellsten verf\u00fcgbaren Android und alle darauf genutzten Apps aktuell seien.\u00a0 Der Betroffene gab zudem an, dass die Apps schon einige Jahre auf beiden Ger\u00e4ten und ihren Vorg\u00e4ngern ohne Probleme im Einsatz waren. Es gab In-App-Ads, aber nie das oben beschriebene Verhalten.<\/p>\n

\"Android-Malware<\/p>\n

In dieser Situation ist es gut, das Smartphone per Antivirus-App auf Schadsoftware scannen zu lassen. Er hat Malwarebytes zum Scannen verwendet und es wurde der Sch\u00e4dling Android\/Trojan.HiddenAds.AdQRtd <\/em>in der Android-App QR Code Scanner<\/em> gefunden. Malwarebytes hat diesen Namen vergeben und schreibt hier<\/a>:<\/p>\n

Android\/Trojan.HiddenAds ist der generische Erkennungsname von Malwarebytes f\u00fcr eine gro\u00dfe Familie von Trojanern, die sehr h\u00e4ufig auf Android-Ger\u00e4ten zu finden sind.<\/p>\n

Symptome: Aggressive Werbung wird angezeigt und es ist f\u00fcr den Endbenutzer schwierig zu erkennen, welche App sie anzeigt. Die Werbefunktion ist versteckt und der Benutzer wird w\u00e4hrend der Installation nicht auf die Werbung aufmerksam gemacht.<\/p><\/blockquote>\n

Bei der App handelt es sich nach Aussage des Betroffenen konkret um Barcode Scanner Lite <\/em>von Tech digital (siehe folgendes Bild) mit \u00fcber 1 Million Downloads.<\/p>\n

\"Barcode<\/p>\n

Die App wurde am 9.11.2021 letztmalig aktualisiert. Der Betroffene schreibt: Diese App hat seit dem letzten Update im November 2021 angefangen diese merkw\u00fcrdigen Adressen im Browser zu \u00f6ffnen, l\u00e4sst sich auch in den Bewertungen nachvollziehen.<\/em> Geht man im Google Play Store in die Bewertung, fallen dort folgende Aussagen auf:<\/p>\n

P B; 1. Dezember 2021: \u00d6ffnet seit letztem Update ohne eigenes Zutun wiederholt dubiose Werbung. App deinstalliert, seit mehreren Tagen ist nun Ruhe …<\/p>\n

Dirk Eul; 27. November 2021: Installiert Adware mit. Aufpassen!<\/p><\/blockquote>\n

Der Entwickler schreibt zwar:<\/p>\n

Unsere App ist absolut kostenlos! Wir haben Werbung und diese befindet sich an speziell daf\u00fcr vorgesehenen Stellen. Die PRO-Version ist werbefrei und enth\u00e4lt ebenfalls interessante Funktionen. Mit freundlichen Gr\u00fc\u00dfen, Entwickler<\/p><\/blockquote>\n

Aber das hilft Betroffenen nicht – das oben skizzierte Verhalten ist nicht tolerabel. Das Beispiel zeigt wieder einmal, wie schnell man sich auch bei Android Apps aus dem Google Play Store etwas einfangen kann.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nGigaset Android-Update-Server liefern vermutlich Malware aus<\/a>
\nNeues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a>
\nMalwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>
\nUpdate zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a>
\nVorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a>
\nKurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n

Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 1
\nMalwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 2
\nGigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a>
\nGigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a>
\nNeues zum Malwarebefall bei Gigaset Android-Smartphones<\/a>
\nNachtrag zum Malwarebefall bei Gigaset Android-Smartphones<\/a><\/p>\n

Huawei Smartphone-Apps mit Joker-Malware verseucht<\/a>
\nCynos Android-Malware infiziert mehr als 9 Millionen Huawei-Smartphones<\/a>
\nVideo Encoder f\u00fcr HiSilicon-Chips (Huawei) mit schweren Sicherheitsl\u00fccken<\/a>
\nSicherheitsinfos: Wacom, HiSilicon\/Huawei \u2026 (6. Februar 2020)<\/a><\/p>\n

Sicherheitsl\u00fccke in Huawei Webseite gef\u00e4hrdete Kundendaten<\/a><\/h4>\n","protected":false},"excerpt":{"rendered":"

[English]Im T\u00fcrchen mit der Nummer 6 meines Security Adventskalenders habe ich dieses Mal etwas zu Malware in Android-Apps versteckt. \u00dcber Facebook bin ich auf den Fall der Android-App Barcode Scanner Lite aufmerksam geworden. Die scheint bei einem der letzten Updates … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,4328,1107],"class_list":["post-260208","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260208"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260208\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}