Joker-Malware

Android: Mehr als 1.700 infizierte Apps aus Play Store entfernt

Google hat nach eigenen Angaben bislang mehr als 1.700 Apps mit der Joker- oder Bread-Malware aus dem Play Store gelöscht. Die Malware ist auf Rechnungsbetrug spezialisiert.

Android Malware - Sicherheit (Symbolbild)

© Stanisic Vladimir - fotolia.com / Google / Montage: connect

Google entfernt regelmäßig Malware aus dem Play Store.

Cyber-Kriminelle versuchen ständig, über neue Android-Apps Malware in den Google Play Store zu schleusen. Gleichzeitig arbeitet Google daran, die immer neuen Varianten der Schadsoftware rechtzeitig zu entdecken. Den Kampf gegen eine besonders große Malware-Familie namens Bread oder Joker stellen Alec Guertin und Vadim Kotov vom Android Security & Privacy Team in einem aktuellen Beitrag auf dem Google-Blog vor.

Die Malware mit den Spitznamen Bread oder Joker ist 2017 erstmals in Erscheinung getreten. Laut Google hat der Schutzmechanismus von Google Play Protect seitdem mehr als 1.700 Apps, die mit der Malware infiziert waren, aus dem Play Store entfernt, bevor sie von Nutzern heruntergeladen werden konnten.

Manche Malware-Apps schaffen es aber auch, eine Zeitlang durch das Sicherheitsnetz zu schlüpfen. Erst im September 2019 hatte die CSIS Security Group 24 Apps mit der Joker-Malware entdeckt, die teils mehr als 100.000 Downloads hatten. Doch auch hier schlug der Google-Algorithmus irgendwann zu: Wie die Sicherheitsforscher berichteten, hatte Google bis zum Abschluss ihrer Untersuchung alle Apps bereits selbständig entfernt.

Betrug über SMS oder Telefonrechnung

Wie Guertin und Kotov schreiben, hatten die Bread- oder Joker-Apps ursprünglich einen Fokus auf SMS-Abrechnungen. Dabei werden von einem infizierten Gerät ohne Wissen oder Zutun des Nutzers SMS an teure Service-Nummern versandt.

In späteren Versionen werden Nutzer auch dazu gebracht, Abos abzuschließen, etwa durch transparente Überlagerungen in den Apps. Die entstehenden Kosten werden anschließend über die Telefonrechnung abgerechnet. Bestätigungs-SMS- oder E-Mails werden dabei oft von der Malware abgefangen, so dass der Nutzer zunächst nichts von der Transaktion bemerkt.

Malware-Apps oft ohne echte Funktion

Interessant bei den Joker- oder Bread-Apps ist, dass sie oft außerhalb der Mechanismen für den Rechnungsbetrug keinerlei Funktionalität besitzen. Teilweise handelt es sich wohl auch um Klone beliebter Apps im App Store.

Erst nach dem Download merken die Nutzer, dass die App nicht funktioniert oder nicht das tut, was angekündigt war. Dies zeigt sich laut Google auch in den Bewertungen der Apps. Zunächst gibt es eine Reihe von sehr positiven, aber falschen, Bewertungen. Nachdem die ersten echten Nutzer die App heruntergeladen haben, folgen negative Bewertungen, die den Betrug entlarven.

Manchmal werden aber auch zunächst scheinbar saubere Apps veröffentlicht. Die Malware wird dann erst in einem späteren Update eingeschleust. Wobei auch hier der spätere Betrug oft schon im Code angelegt ist. Teilweise fehlt nur eine einzige Code-Zeile, um die Schadsoftware zu aktivieren. Laut Google behandelt Google Play Protect bei der Analyse deshalb die Updates bestehender Apps genauso wie neue Apps.

Massenhafte Verbreitung der Malware-Apps

Laut Guertin und Kotov veröffentlichen die Entwickler der Bread- und Joker-Apps eine enorme Anzahl an Malware-Apps, in der Hoffnung, dass einige wenige davon unentdeckt bleiben. Auch ändern sie immer wieder ihre Herangehensweise, um die Schutzmechanismen in Google Play Protect zu umgehen, die Google natürlich auch ständig aktualisiert. So bleibt es ein ewiges Katz- und Maus-Spiel zwischen den Hackern und den Sicherheits-Teams von Google.

Den Android-Nutzern bleibt dabei nichts anderes übrig, als immer wachsam zu sein, wenn sie Apps installieren. Achten Sie darauf, welche Berechtigungen eine App verlangt und ob diese mit den versprochenen Funktionen zusammenpassen. Lesen Sie sich auch die Bewertungen der App genau durch. Auch viele allzu positive Stimmen können dabei ein Warnsignal sein. Behalten Sie außerdem Ihre Telefonrechnung genau im Blick, um verdächtige Transaktionen schnell zu entdecken.

Mehr zu den Schutzfunktionen von Google Play Protect lesen Sie hier.

Mehr zum Thema

Malware auf iPhone, iPad, Mac
Sicherheitsupdate für Android 7.0, 7.1, 8.0, 8.1…

Android 7.0 bis 9.0 weist kritische Schwachstellen auf, durch die schädliche Codes eindringen können. Google bietet Sicherheitsupdates an.
Google Login mit Fingerabdruck
Entsperren per Fingerabdruck

Google bietet auf Android-Smartphones künftig die Möglichkeit, sich bei Google-Diensten ohne Passwort anzumelden. Zum Login dient der Fingerabdruck.
Smartphone Virus
Nach über 100 Millionen Downloads

Sicherheitsforscher schlugen Alarm: Die Android-App CamScanner mit über 100 Millionen Downloads war Malware-verseucht. Nun ist die App zurück.
google bug bounty programm apps
Belohnungen für Sicherheitsforscher

Nach dem jüngsten Malware-Vorfall im Play Store reagiert Google: Ab sofort gilt das Bug-Bounty-Programm für alle Apps ab 100 Millionen Downloads.
android sicherheit
Galaxy S8, S9, Huawei P20 und mehr betroffen

Mindestens 18 Android-Smartphones sind über eine Zero-Day-Sicherheitslücke angreifbar. Der Exploit wird bereits aktiv genutzt. Ein Bugfix ist geplant.