Android Play Store

Fake-Apps erkennen: Das sollten Sie wissen

Kostenpflichtige Navi-Apps, die nicht mehr können als Google Maps, sinnlose Update-Programme, falsche Banking-Tools: Fake-Apps geben sich als legitime Anwendungen aus. In Wahrheit spielen sie nervige Werbung aus, greifen sensible Daten ab oder zocken Geld ab. Und ihre Zahl explodiert. Wir zeigen Ihnen, wie man sie erkennt.

Smartphone Sicherheit

© © Andrew Rybalko / shutterstock.com

Fake-Apps erkennen: Das sollten Sie wissen​

Nicht jedes Smartphone bekommt ein Update auf die neueste Android-Version. Und wenn doch, kann es oft Monate dauern, bis die Hersteller die neue Version ausspielen. Wer im Play Store stöbert, findet einige Apps, die einen sofortigen Umstieg auf Android 9.0 ermöglichen sollen. Sie tragen Namen wie Update für Android – Neu oder Android Latest Versions Update Info. 

Doch wer sie installiert, bekommt keine Aktualisierung, sondern hat sich eine Fake-App aufs Smartphone geladen. Das sind Anwendungen, die Nutzer täuschen. Sie versprechen entweder, eine Aufgabe zu erfüllen. Oder sie geben vor, eine populäre App zu sein. In Wahrheit tun sie aber etwas anderes, etwa Werbung ausspielen oder Nutzer ausspionieren. 

Die Zahl der Fake-Apps ist im vergangenen Jahr geradezu explodiert. Im Juni 2018 waren es knapp 10.000 gefälschte Anwendungen, die die Sicherheitsfirma McAfee laut ihrem Mobile Threat Report entdeckte. Im Dezember fand sie bereits 65.000 Fake-Apps. Sie würden einige der „effektivsten Methoden“ mitbringen, „um Nutzer dazu zu bringen, verdächtige und schädliche Apps in Android zu installieren“, heißt es.

Fake-Apps erkennen: Das sollten Sie wissen - Falsche Udates

© Screenshot & Montage: connect

Manche Apps täuschen vor, sie könnten das Betriebssystem und andere Apps updaten.

Viele Varianten von falschen Apps

Die gefälschten Apps ahmen alle möglichen Arten von Anwendungen nach. Sie geben sich zum Beispiel als Navigations-App aus, bieten aber lediglich Zugriff auf Google Maps. Versprochene Zusatzfeatures funktionieren entweder nicht oder nur teilweise. 

15 Fake-Navi-Apps entdeckten die Sicherheitsexperten von Eset Anfang des Jahres. Die Täuschung funktionierte: Die Programme wurden 50 Mio. mal heruntergeladen. Eine Million Nutzer installierte Ende 2011 eine angebliche WhatsApp-Anwendung. Der Update WhatsApp Messenger tat so, als würde er das Programm aktualisieren. 

Andere Fake-Apps setzen auf den Hype um beliebte Spiele. Als 2016 das Augmented-Reality-Game Pokemon Go auf den Markt kam, tauchten im Play Store diverse Anwendungen mit Namen wie Guide & Cheats for Pokemon Go oder Install Pokemongo auf. Bis zu 50.000 Nutzer luden die Apps herunter, bevor Google sie aus dem Store entfernte. 

Mit mehr als 200 Millionen Spielern weltweit ist derzeit das Kooperations-Survival-Game Fortnite besonders bei Jugendlichen beliebt. Die offizielle Android-Spiele-App gibt es allerdings nur auf der Webseite des Herstellers. 

Trotzdem finden sich im Play Store immer wieder Programme mit Fortnite im Titel. Auch für weitere Dienste gibt es keine offizielle Android-App, so wie für Bitpanda. Im Play Store tauchte dennoch ein Programm für die Kryptowährungs-Tauschbörse auf – ebenfalls eine Fake-App.

Fake-Apps erkennen: Das sollten Sie wissen - Bewertungen

© Screenshot & Montage: connect

Lesen Sie Bewertungen durch, und achten Sie auf Hinweise, dass die Apps nicht funktionieren.

Wie Fake-Apps Nutzern schaden

Die Absichten der Fake-App-Entwickler sind so vielfältig wie ihre falschen Anwendungen. Einige der Programme haben es auf das Geld der Nutzer abgesehen, zum Beispiel die kostenpflichtigen Navi-Dienste, die noch dazu Werbung einblenden. Ein besonders dreister Betrüger kassierte noch mehr Geld von den Navi-Käufern, falls diese eine werbefreie Version verwenden wollten. 

Einige der Pseudo-Apps haben die persönlichen Daten der User im Visier. Sie räumen sich weitreichende Berechtigungen ein und können dann beispielsweise das Telefonbuch auslesen – und die Daten anschließend an die fremden Server übertragen. Manche Fake-Programme bringen sogenannte Scareware mit: Sie versuchen, Opfer zum Kauf sinnloser Services zu verführen. 

Spieler sollten etwa Cheats und Items erhalten, wenn sie sich bei teuren Pokemon-Diensten anmeldeten. Bekommen haben sie nichts. Andere Apps gehen raffinierter vor. Ein falscher Pokemon-Lockscreen klickte im Hintergrund auf Pornoseiten. Die Entwickler verdienten Geld, ohne dass die Anwender das bemerkten. 

Gefährlicher sind Apps, die sich als legitime Banking-Programme ausgeben. Sie bringen nur beschränkte Funktionen mit. Das reicht aber schon, um sensible Daten abzugreifen. Die Masche ist nach Angaben von Eset meist ähnlich: Die Anwendungen zeigen nach dem Start verschiedene Formularfelder. Nutzer sollen dort Login-Daten fürs Online-Banking oder ihre Kreditkarteninformationen eintippen. 

Die Fake-App überträgt die Angaben anschließend an die Server der Cyberkriminellen – und die können mit den sensiblen Daten auf Konten der Anwender zugreifen. Diese ahnen nichts und wundern sich auch nicht, dass sie sich nicht einloggen können: Die Apps gaukeln ihnen vor, dass die eingetippten Daten noch geprüft würden.

Fake-Apps erkennen: Das sollten Sie wissen - Falsche Banking Apps Screenshot Eses

© Eset / Screenshot & Montage: connect

Die Sicherheitsexperten von Eset haben diverse falsche Banking-Apps aufgespürt.

Fake-Apps versus Trojaner

Fake-Finanz-Apps sind zwar einfacher gestrickt als komplexe Banking-Trojaner. Beide haben aber das gleiche Ziel: Zugangsdaten ausspähen. Trojaner kommen oft huckepack mit einer anderen App, ohne dass der Nutzer das bemerkt. Irgendwann wird er über ein Popup-Fenster zu den Optionen angeblicher Google-Services geleitet, die er bestätigen soll. 

Damit räumt er der App unbemerkt umfangreiche Zugriffsrechte ein, und sie lädt Schad-Software nach. Die Eset-Experten mahnen, die Gefahr von Fake-Apps nicht zu unterschätzen, nur weil ihr Vorgehen weniger ausgeklügelt ist. Denn ihr Ziel erreichen sie trotzdem oft; gerade, weil Anwender nicht so schnell misstrauisch werden.

Mehr lesen

Doppelte Sicherheit
Doppelte Sicherheit

Was, wenn Benutzername und Passwort gestohlen werden? Mit einer Zwei-Faktor-Authentifizierung erhält man doppelte Sicherheit.

Was Google gegen Fake-Apps tut

Betrügerische Fake-Apps tummeln sich auf inoffiziellen App-Portalen, aber auch im Play Store. Google weist darauf hin, dass „99 Prozent der schädlichen Apps“ entdeckt und gelöscht würden, bevor jemand sie herunterladen kann. Trotzdem tauchen immer wieder falsche Anwendungen auf. 

Das Sicherheitssystem Play Protect untersucht laut Google jeden Tag 50 Milliarden Apps. Der Algorithmus scannt die Anwendungen unter anderem auf verdächtige Code-Fragmente, falsche Namen oder unangemessene Inhalte – und weist sie im Zweifel automatisch zurück. 

Seit letztem Jahr warnt Play Protect Nutzer auch, wenn sie eine neue, selten verwendete oder möglicherweise gefährliche Anwendung installieren. Erst wenn Google die App gescannt und für sicher befunden hat, verschwindet die Warnung. 

100.000 mal pro Tag sei diese Warnung im letzten Jahr erschienen, schreibt der Konzern in einem Blog-Post. Prüfen Sie in den Einstellungen Ihres Handys unter Sicherheit, ob Play Protect aktiv ist. Entfernt Google eine App aus dem Play Store, werden Anwender, die sie installiert haben, ebenfalls benachrichtigt.

Mehr zum Thema

WhatsApp App iPhone
Kampf gegen Spam

WhatsApp beschränkt die Möglichkeiten, Nachrichten, Bilder und Videos weiterzuleiten. Damit sollen Spam und Kettenbriefe eingedämmt werden.
Velociraptor Tempolimit App im Google Play Store
Overlay blendet erlaubte Geschwindigkeit ein

Ein Feature zum Anzeigen des Tempolimits in Google Maps fehlt bisher - zumindest in Deutschland. Diese App verschafft schon jetzt Abhilfe.
WhatsApp Sticke
WhatsApp-Sticker-Packs downloaden und erstellen

Wir zeigen Ihnen, wie Sie Ihre eigenen Whatsapp-Sticker erstellen und bei welchen vorgefertigten Sticker-Packs sich der Download lohnt.
Smartphone Virus
Nach über 100 Millionen Downloads

Sicherheitsforscher schlugen Alarm: Die Android-App CamScanner mit über 100 Millionen Downloads war Malware-verseucht. Nun ist die App zurück.
google bug bounty programm apps
Belohnungen für Sicherheitsforscher

Nach dem jüngsten Malware-Vorfall im Play Store reagiert Google: Ab sofort gilt das Bug-Bounty-Programm für alle Apps ab 100 Millionen Downloads.