Varianten der SharkBot-Malware wurden in mehreren Dateimanager-Android-Apps im Google Play Store gefunden, einige davon mit Tausenden von Downloads.
Während die Apps inzwischen von Google entfernt wurden, haben die Sicherheitsforscher von Bitdefender Anfang der Woche einen Hinweis veröffentlicht, in dem sie die Bedrohung beschreiben.
„Der Google Play Store würde wahrscheinlich einen Trojaner erkennen, der in sein Repository hochgeladen wurde, also greifen die Kriminellen auf verdecktere Methoden zurück“, heißt es in dem technischen Bericht.
„Eine Möglichkeit ist eine App, manchmal legitim mit einigen der beworbenen Funktionen, die als Dropper für eine heimtückischere Malware dient.“
Dies war bei mehreren Dateimanager-Apps der Fall, die als solche getarnt waren, um die Anforderung der Erlaubnis zur Installation externer Pakete durch den Benutzer zu rechtfertigen.
„Natürlich wird diese Erlaubnis genutzt, um Malware herunterzuladen“, schreibt Bitdefender. „Da Google Play-Apps nur die Funktionalität eines Dateimanagers benötigen, um eine andere App zu installieren, und das bösartige Verhalten nur bei einer begrenzten Anzahl von Nutzern aktiviert wird, sind sie schwer zu erkennen.“
Außerdem sind die vom Team entdeckten Apps zwar nicht mehr im Google Play Store erhältlich, können aber immer noch in verschiedenen Drittanbieter-Stores gefunden werden, was sie zu einer aktuellen Bedrohung macht.
Die erste vom Bitdefender-Team analysierte App war „X-File Manager“, die von „Viktor Soft ICe LLC“ entwickelt wurde und über 10.000 Installationen zählte, bevor sie gelöscht wurde. Der zweite war „FileVoyager“, der von „Julia Soft Io LLC“ entwickelt wurde und etwa 5.000 Downloads zählte.
Bitdefender fand zwei weitere Apps, die demselben Muster folgen, aber nie im Google Play Store verfügbar waren. Sie heißen „Phone AID, Cleaner, Booster“ und „LiteCleaner M“ und wurden im Internet über App-Stores von Drittanbietern entdeckt.
Die Mehrheit der Nutzer, die die bösartigen Apps heruntergeladen haben, stammte aus dem Vereinigten Königreich (80,6 %) und Italien (16,2 %), eine kleine Minderheit aus anderen Ländern.
Weitere Informationen zu den einzelnen Malware-Apps sind in der Bitdefender-Beratung zu finden. Die Veröffentlichung erfolgt Wochen, nachdem Cybersecurity-Experten von Cleafy darauf hingewiesen haben, dass der Android-Bankentrojaner Vultur mehr als 100.000 Downloads im Google Play Store erreicht hat.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com