Android-Malware tarnt sich als Uber-App

Eine bösartige Anwendung gibt sich als Fahrdienst-App Uber aus. Dabei handelt es sich jedoch um die neue Variante eines Trojaners, den Symantec als Android.FakeApp bezeichnet. Die Malware hat es nicht zum ersten Mal auf die Nutzer von Android-Smartphones abgesehen, fällt jetzt aber durch eine neue Verschleierungsmethode auf.

Die Hintermänner von FakeApp nutzten die Malware schon seit 2012, um Werbung einzublenden und Informationen von kompromittierten Geräten mitzuschneiden. Jetzt geht es ihnen darum, an die Anmeldedaten für Uber-Konten zu kommen. Sie werden diese wahrscheinlich selbst für betrügerische Zwecke einsetzen oder sie in einschlägigen Foren zum Kauf anbieten.

Wie die Sicherheitsforscher von Symantec herausfanden, blendet FakeApp in regelmäßigen Abständen auf dem Smartphone-Display eine der Uber-App nachempfundene Bedienoberfläche ein. Das wiederholt sich solange, bis sich der Nutzer vielleicht verleiten lässt, seine Uber-ID – typischerweise die beim Fahrdienst registrierte Telefonnummer – und das Passwort dazu einzugeben.

Danach bemüht sich die Malware, ihre Spuren zu verwischen und vor allem keinen Verdacht beim Nutzer aufkommen zu lassen. Zu diesem Zweck zeigt sie ein Fenster der echten Uber-App an, auf der der aktuelle Standort des Nutzers zu sehen ist – ganz wie von der legitimen App zu erwarten. Das geschieht mit der der Overlay-Technik, die schon häufig bei Android-Schadsoftware zum Einsatz kam.

Bei einem Overlay-Angriff überlagert die App eines Angreifers andere Fenster und Apps, die auf dem Gerät laufen. FakeApp hat hier aber noch einen besonderen Trick auf Lager und blendet gezielt einen Bildschirm ein, mit dem die echte Uber-App typischerweise auf eine angeforderte Fahrt reagiert und dabei den Standort des Opfers für die gewünschte Abholung durch ein Uber-Fahrzeug anzeigt.

Das gelingt der Malware, indem sie eine Deep-Link-URL der Uber-App nutzt. Deep Linking dient bei Android dazu, bestimmte Inhalte oder Funktionen innerhalb von Anwendungen aufzurufen. „Dieses Beispiel demonstriert erneut das ständige Bestreben der Malware-Autoren, neue Social-Engineering-Techniken zu entwickeln, um ahnungslose Nutzer zu täuschen und von ihnen zu stehlen“, kommentiert Symantec-Analyst Dinesh Venkatesan.

Venkatesan nimmt jedoch keine weite Verbreitung dieser FakeApp-Variante an, da sie nicht über Google Play zu beziehen ist, sondern nur per Download von anderen Websites. Opfer vermutet er vor allem in russischsprachigen Ländern. Ebenso wie Uber rät er dringend, nur Apps von Googles offiziellem Play Store zu installieren. Aber auch hier bleibt Umsicht geboten, denn immer wieder entdecken Sicherheitsforscher Malware im Google Play Store.

[mit Material von Danny Palmer, ZDNet.com]

Bernd Kling

Recent Posts

Allianz für weiteres Wachstum: TIMETOACT GROUP erwirbt Transformationsexperten PKS

Führender Anbieter von IT-Dienstleistungen für Mittelständler, Konzerne und öffentliche Einrichtungen im DACH-Raum erwirbt Software-Transformationsexperten.

3 Stunden ago

CrowdStrike: Verbreitung von Linux-Malware nimmt zu

Das Plus liegt im Vergleich zu 2020 bei rund 35 Prozent. Am häufigsten kommen die…

19 Stunden ago

Auch moderne Smartphones von Sicherheitslücken in 2G-Netzwerken betroffen

Google bietet nun in Android 12 grundsätzlich die Option, 2G-Netze nicht zu nutzen. Die EFF…

19 Stunden ago

Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion,…

2 Tagen ago

ASM hilft Risiken priorisieren

Die Marktforscher von Forrester erklären das Thema Attack Surface Management (ASM) zum neuen Trend aus.…

2 Tagen ago

Schwachstellen in AWS Glue und AWS Cloud Formation entdeckt

Das Orca Security Research Team hat Sicherheitslücken im Amazon Web Services AWS Glue-Service sowie zur…

5 Tagen ago