Trojaner Anubis – Achtung, Schnäppchen!

Der Banking-Trojaner Anubis ist wieder aktiv und zeigt die Absicht, den aktuelleren Cerberus vom Thron zu stoßen. Anubis ist der neue Star auf der Phishing- und Social-Engineering-Bühne. Phishing- und Social-Engineering-Angriffe wollen Opfer zum Download einer scheinbar harmlosen, legalen App bewegen. Der Trick: Die Macher der App verbreiten sie nicht über den offiziellen Google Play Store.

Der Download beschenkt das Opfer nicht nur mit einer App, sondern auch mit einer intelligenten Malware, die Passwörter und andere Daten von fast 200 echten Banking- und Finanz-Apps stehlen kann. Vielleicht haben auch Sie eine davon auf Ihrem Smartphone? Außerdem kann die Schad-Software Screenshots machen, die Kontrolle über Ihre SMS-Nachrichten übernehmen, URLs öffnen und Google Play Protect deaktivieren. Was für ein Schnäppchen.

Wie das funktioniert? Anubis klont seriöse Apps von Google Play, versteckt einen Banking-Trojaner im App-Klon und bringt diesen dann als harmlos wirkende App über Drittanbieter unter die User. Das ist genauso einfach wie wirkungsvoll: Das neu geschnürte App-Paket enthält nicht nur alle Merkmale und Funktionen der ursprünglichen App, sondern auch den Anubis-Trojaner.

Wir stellen Ihnen hier drei Beispiele für schädliche App-Klone vor:

Abb. 1: Die Original-Apps aus dem Google Play Store
Abb. 1: Die Original-Apps aus dem Google Play Store

Trojaner im Schafspelz

Die drei gezeigten Original-Apps stammen alle aus dem Google Play Store und sind nicht schädlich! Ihre bösartigen Zwillinge sind schlicht und einfach Ebenbilder des Originals inklusive Malware. Mit der dritten App nutzen Malware-Autoren die aktuelle Coronavirus-Pandemie aus und verbreiten Malware, die sich als legale App tarnt.

Einen Unterschied bemerkt der User erst bei der Installation des App-Klons. Bei diesem Vorgang wird ein Warnhinweis eingeblendet, weil die App nicht von Google Play stammt. Lässt der User die Installation der Drittanbieter-App trotzdem zu, wird der Vorgang fortgesetzt.

Abb. 2: Warnhinweis bei der Installation von Drittanbieter-Apps
Abb. 2: Warnhinweis bei der Installation von Drittanbieter-Apps

Neue App übernimmt die Kontrolle

Nach der Installation verlangt die App volle Kontrolle über das gesamte Gerät. In einigen Fällen fragt sie auch nach der Erlaubnis, Tonaufnahmen machen und auf SMS zugreifen zu dürfen.

Ein interessanter Fall ist die App „Media Player“. Nach der Installation wird die richtige App in der App-Liste als „Video Player“ angezeigt, der Anubis-Klon heißt hier jedoch „Media Player“. Zudem verlangt die schädliche Version zusätzlich zur vollen Kontrolle über das gesamte Gerät weitere, viel gefährlichere Berechtigungen.

Abb. 3: Die schädliche App „Media Player“ fordert gefährliche Berechtigungen

Android-Malware aus dem Modul-Baukasten

Nicht nur das Verhalten der falschen Apps ähnelt sich. All unsere Beispiele verwenden denselben Namen für das schädliche Android-Paket. Das hat für Malware-Autoren den Vorteil, dass sie schädliche Komponenten mehrmals für verschiedene Apps verwenden können.

Abb. 4: All unsere Beispiel-Apps besitzen eine ähnliche Manifest-Datei und zeigen den Namen des schädlichen Android-Pakets an
Abb. 4: All unsere Beispiel-Apps besitzen eine ähnliche Manifest-Datei und zeigen den Namen des schädlichen Android-Pakets an

Sicheres App-Shopping

Diese Fake-Apps sind gute Beispiele dafür, wie Malware-Autoren es schaffen, Ihr Gerät zu infizieren: Sie gaukeln Ihnen vor, eine harmlose App herunterzuladen. Aber in Wahrheit holen Sie sich nicht nur die App, sondern auch schädlichen Code auf Ihr Telefon.

Auch im offiziellen Google Play Store sind Sie nicht automatisch vor schädlichen Apps sicher. Erst kürzlich hat Google eine gefälschte VPN-App gelöscht, die von über 100 Millionen Menschen genutzt wurde. Außerdem wurden infizierte Spiele-Apps für Kinder entfernt.

Anders als inoffizielle Drittanbieter-Stores wird der Play Store aber regelmäßig kontrolliert und verdächtige Apps auf Hinweise von Sicherheitsexperten entfernt.

Beherzigen Sie beim App-Kauf diese drei Social-Distancing-Tipps, um sich zu schützen:

  1. Bleiben Sie immer im sicheren Bereich des Play Stores.
  2. Prüfen Sie, warum bestimmte Apps Berechtigungen einfordern und gewähren Sie diese nicht unbesehen.
  3. Sorgen Sie dafür, dass Sie immer ein Antiviren-Programm auf Ihrem Gerät haben.

Avira erkennt diese gefälschten Apps als ANDROID/Dropper.BAD.Gen.

IOCs

SHA-256Paketname
9af40bd913f4612a790c4fd2821b4e8a6ce7d15503484c35a5e8452e20845d8acom.doktorumapp
612da67e5c5eb4288ec4c5ef60598d75bd156d25217f123de8d2e85ef215fa4dcom.mefree.videoplayer
7559dff487b11e7366f0a6f952dd808e376844609c9f5af6a1ebda09ffe30bb0cat.gencat.mobi.StopCovid19Cat

Dieser Artikel ist auch verfügbar in: Englisch

Avira logo

Schützen Sie Ihr Android-Gerät vor Trojandern und anderen Gefahren.