8 Jahre Android: Fake Apps und wie man sich davor schützt

Innerhalb von acht Jahren hat es das Betriebssystem Android geschafft, einen weltweiten Marktanteil von über 84% zu erreichen. Android ist eine freie Software, die quelloffen entwickelt wird. Nicht nur bei Verbrauchern ist das Betriebssystem sehr beliebt, sondern auch bei Angreifern. Durch den großen Marktanteil entstehen aber auch Nachteile – Cyber-Kriminelle nutzen ständig neue Lücken im System aus.

QuadRooter-Lücke

Anstatt abzuwarten, entwickeln Hacker immer neue Methoden, um möglichst viele Opfer zu kompromittieren. Es ist eine nicht-endendes Abenteuer nach der Suche nach neuen Sicherheitslücken, um diese dann auszunutzen. Ein gutes Beispiel kam vor ein paar Wochen auf der DEF CON 24 Hacking Conference zum Vorschein. White-hat-Sicherheitsforscher zeigten, dass sie gleich vier Android-Sicherheitslücken fanden. Diese nannten sie QuadRooter. Ihrem Bericht nach zu urteilen, kann jede einzelne Sicherheitslücke von Cyber-Kriminellen ausgenutzt werden, um sich Zugang zu Smartphone und Tablet mit Qualcomm-Chipsätzen zu verschaffen. Davon betroffen sind etwa 900 Millionen Android-Geräte.

Natürlich packen sie die Gelegenheit beim Schopfe und nutzen die Situation zu ihrem Vorteil. Hacker tarnen sich als vermeintliche Retter, bieten aber nur Fake Apps, welche die QuadRooter-Lücke schließen sollen. Leider wird mit diesen Apps eine ganze andere Absicht verfolgt – sogar eher das Gegenteil. Diese Fake Apps sollen den User dazu bringen, Geld für praktisch nichts auszugeben. Außerdem überschwemmen sie ihn mit nervender Werbung. Aber diese Täuschungsversuche sind altbekannt.

Pokemon GO Fake Apps

Trotz des Google-Antimalware-Bouncers und menschlichen Überprüfungen gelingt es schädlichen Anwendungen immer wieder, im Google Play Store zu erscheinen. Neulich erst sorgten gefälschte Pokemon GO Anwendungen für großes Aufsehen. Schon vor dem offiziellen Release war der Hype darum enorm. Das nutzten Cyber-Kriminelle, um über ihre Fake Apps Scarware, Werbung und Umfragen zu verteilen. Die Anwendungen erzeugten Endlosschleifen und konnten nicht beendet werden. Den Nutzern blieb also nichts Anderes übrig, als ihr Telefon durch das Entfernen der Batterie neu zu starten.

Social Engineering und Phishing

Android-User sehen sich auch immer wieder mit der Gefahr des Social Engineerings und Phishings konfrontiert. Zu Beginn des Jahres tauchte eine Instagram Fake App im Google Play Store auf, die Usern wie aus dem Nichts neue Follower versprach. Dahinter verbarg sich aber die Absicht, Login-Daten von Social Media Konten zu stehlen und weiterzuverkaufen.

Ein Blick auf statistische Daten vom Jahresanfang ist interessant. Angreifern war es gelungen, über 340 schädliche Porn Clicker in den Google Play Store über den Zeitraum von sieben Monaten einzuschleusen. Die Fake Apps wurden durchschnittlich 3600-mal heruntergeladen.

Alle diese Beispiele haben eines gemeinsam. Cyber-Kriminelle versuchen bekannte Apps zu imitieren, um möglichst viele User kompromittieren zu können. Wird die App im Google Play Store enttarnt, ändern die Entwickler nur Kleinigkeiten und laden sie wieder hoch. Durch diese Masche sind sie immer wieder in der Lage, eine Vielzahl von Nutzern mit geringstem Aufwand zu erreichen.

Auf inoffiziellen Marktplätzen für Android-Software sieht es noch viel schlimmer aus. Cyber-Kriminelle haben es geschafft, dass Ransomware nicht nur länger ein Problem für Windows-Betriebssysteme und PCs ist. Die Malware hat ihren Weg nun auch zu Android-Endgeräten gefunden. ESET hat bislang zwei Typen entdeckt – den Lock-Screen und die Crypto-Ransomware.

Nun, was können wir aus der Entwicklungsgeschichte des Android-Projekts lernen? Ich denke die Antwort ist recht einfach: Je größer eine Plattform und die Useranzahl wird, desto mehr rückt sie ins Blickfeld von Cyber-Kriminellen. Ein anderes gutes Beispiel dafür ist das Windows-Betriebssystem. Es reicht nicht, das Beste zu hoffen und abzuwarten, dass die Entwickler es schon irgendwie sicherer machen. Der Nutzer sollte stattdessen selbst aktiv werden. Wir haben zum Abschluss noch ein paar grundlegende Regeln aufgelistet, die unnötigen Ärger ersparen:

  • Am wichtigsten ist immer das System aktuell zu halten. Im Idealfall aktualisiert sich alle Software automatisch. Dadurch bleiben auch nicht-sicherheits-affine User geschützt.
  • Wenn möglich, sollten nur seriöse App Stores für den Download von zusätzlicher Software genutzt werden. Selbst wenn sie nicht komplett Malware-frei sind, hat man bei ihnen die größte Chance, schädlichen Fake Apps zu entgehen.
  • Bevor eine App installiert wird, sollten immer zuerst Kommentare und Bewertungen gecheckt werden. Besonders aus den negativen Feedbacks lassen sich ernsthafte Ableitungen über die Seriosität einer Anwendung treffen. Positive Bewertungen sind nicht selten gekauft.
  • Zusätzlich sollte ein genauer Blick auf die Zugriffsberechtigungen geworfen werden. Fordert eine App unangemessene Rechte ein, sollte vom Download abgesehen werden.
  • Selbst für das Smartphone gibt es einen zuverlässigen Virenschutz.

Autor , ESET