Die Sicherheitsforscher von Check Point Research sind auf eine neue Malware im Google Play Store aufmerksam geworden, die sich in der Anwendung FlixOnline verbarg. FlixOnline behauptete, den Nutzern überall auf der Welt einen Zugang zur Netflix-Bibliothek zu ermöglichen. Tatsächlich handelte es sich um einen Betrug. Der Download enthielt eine Malware im Stile eines klassischen Wurmes.

Nach der Installation auf dem Smartphone forderte die Anwendung den Nutzer auf, ihr notwendige Berechtigungen zu erteilen. Dazu zählten Overlay, Ignore Battery Optimization und Notifications:

  • Overlay (Im Vordergrund ausführen) ermöglicht es einer bösartigen Anwendung, neue Fenster über denen anderer Anwendungen liegend zu öffnen. Dies wird in der Regel von Malware angefordert, um einen gefälschten Anmelde-Bildschirm für andere Apps zu erstellen, mit dem Ziel, die Anmeldedaten des Nutzers zu stehlen.

  • Ignore Battery Optimizations (Akku-Optimierung ignorieren) verhindert, dass die Malware von der Akku-Optimierung des Geräts heruntergefahren wird, wenn sich das Gerät längere Zeit im Leerlauf befindet.

  • Die auffälligste der geforderten Berechtigungen ist der Zugriff auf die Benachrichtigungen, genauer gesagt, auf den Dienst Notification Listener. Sobald diese Berechtigung aktiviert ist, erhält die Malware Zugriff auf alle Benachrichtigungen und eingehenden Nachrichten und die Möglichkeit, automatisch bestimmte Aktionen, wie „Ablehnen“ und „Antworten“, auszuführen.

Diese Berechtigungen nutzte FlixOnline, um eingehende WhatsApp-Nachrichten abzufangen und selbstständig darauf zu antworten. Dabei legte sie den folgenden Köder: „2 Monate Netflix Premium kostenlos HIER (CORONA VIRUS)* Holen Sie sich 2 Monate Netflix Premium kostenlos für 60 Tage überall auf der Welt."

Durch diese Masche sind die Täter in der Lage, ihre Malware über WhatsApp beinahe ungehindert zu verbreiten und Zugangsdaten zu stehlen. Sollte FlixOnline außerdem die Berechtigung erhalten haben, die Inhalte von WhatsApp-Nachrichten lesen zu können, können die Hacker ihre Opfer sogar darüber erpressen.

Check Point meldete die Ergebnisse der Nachforschungen an Google und die Anwendung wurde umgehend aus dem Play Store verbannt. Check Point informierte auch Facebook, jedoch befindet sich in WhatsApp selbst keine Schwachstelle. In nur zwei Monaten, während derer FlixOnline verfügbar war, wurde diese neue Anwendung etwa 500 Mal heruntergeladen.

Das Gefährliche jedoch ist nicht die Zahl der Installationen, sondern die neuartige Struktur der Malware, wie Aviran Hazum, Manager für Mobile Intelligence bei Check Point Software, warnt: „Die Technik der Malware ist ziemlich neu und innovativ. Sie kann die Verbindung zu WhatsApp kapern, indem sie Benachrichtigungen abfängt. Hinzu kommt die Möglichkeit, definierte Aktionen wie ‚Ablehnen‘ und ‚Antworten‘ über den Notification-Dienst auszuführen.“

„Die Tatsache, dass die Malware so einfach getarnt werden und die Schutzmaßnahmen des Google Play Stores umgehen konnte, gibt Anlaß zu ernsthaften Bedenken. Obwohl wir diese Kampagne der Malware gestoppt haben, bleibt die Malware-Familie wahrscheinlich bestehen. Sie kehrt möglicherweise in einer anderen App versteckt zurück. Glücklicherweise haben wir die Malware frühzeitig entdeckt und sie schnell an Google gemeldet, wo ebenfalls schnell gehandelt wurde.“

„Benutzer sollten jedoch stets bei Download-Links oder Anhängen, die sie über WhatsApp und andere Messaging-Apps erhalten, vorsichtig sein – sogar dann, wenn sie scheinbar von vertrauenswürdigen Kontakten oder Gruppen stammen. Außerdem gilt: Wer denkt, dass er ein Opfer einer gefälschten App geworden sein könnte, sollte die entsprechende Anwendung sofort von seinem Gerät entfernen und alle Kennwörter ändern.“

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.