Android-Malware tarnt sich als Uber-App

Eine bösartige Anwendung gibt sich als Fahrdienst-App Uber aus. Dabei handelt es sich jedoch um die neue Variante eines Trojaners, den Symantec als Android.FakeApp bezeichnet. Die Malware hat es nicht zum ersten Mal auf die Nutzer von Android-Smartphones abgesehen, fällt jetzt aber durch eine neue Verschleierungsmethode auf.

Die Hintermänner von FakeApp nutzten die Malware schon seit 2012, um Werbung einzublenden und Informationen von kompromittierten Geräten mitzuschneiden. Jetzt geht es ihnen darum, an die Anmeldedaten für Uber-Konten zu kommen. Sie werden diese wahrscheinlich selbst für betrügerische Zwecke einsetzen oder sie in einschlägigen Foren zum Kauf anbieten.

Wie die Sicherheitsforscher von Symantec herausfanden, blendet FakeApp in regelmäßigen Abständen auf dem Smartphone-Display eine der Uber-App nachempfundene Bedienoberfläche ein. Das wiederholt sich solange, bis sich der Nutzer vielleicht verleiten lässt, seine Uber-ID – typischerweise die beim Fahrdienst registrierte Telefonnummer – und das Passwort dazu einzugeben.

Danach bemüht sich die Malware, ihre Spuren zu verwischen und vor allem keinen Verdacht beim Nutzer aufkommen zu lassen. Zu diesem Zweck zeigt sie ein Fenster der echten Uber-App an, auf der der aktuelle Standort des Nutzers zu sehen ist – ganz wie von der legitimen App zu erwarten. Das geschieht mit der der Overlay-Technik, die schon häufig bei Android-Schadsoftware zum Einsatz kam.

Bei einem Overlay-Angriff überlagert die App eines Angreifers andere Fenster und Apps, die auf dem Gerät laufen. FakeApp hat hier aber noch einen besonderen Trick auf Lager und blendet gezielt einen Bildschirm ein, mit dem die echte Uber-App typischerweise auf eine angeforderte Fahrt reagiert und dabei den Standort des Opfers für die gewünschte Abholung durch ein Uber-Fahrzeug anzeigt.

Das gelingt der Malware, indem sie eine Deep-Link-URL der Uber-App nutzt. Deep Linking dient bei Android dazu, bestimmte Inhalte oder Funktionen innerhalb von Anwendungen aufzurufen. „Dieses Beispiel demonstriert erneut das ständige Bestreben der Malware-Autoren, neue Social-Engineering-Techniken zu entwickeln, um ahnungslose Nutzer zu täuschen und von ihnen zu stehlen“, kommentiert Symantec-Analyst Dinesh Venkatesan.

Venkatesan nimmt jedoch keine weite Verbreitung dieser FakeApp-Variante an, da sie nicht über Google Play zu beziehen ist, sondern nur per Download von anderen Websites. Opfer vermutet er vor allem in russischsprachigen Ländern. Ebenso wie Uber rät er dringend, nur Apps von Googles offiziellem Play Store zu installieren. Aber auch hier bleibt Umsicht geboten, denn immer wieder entdecken Sicherheitsforscher Malware im Google Play Store.

[mit Material von Danny Palmer, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

14 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

14 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago