Der Banking-Trojaner Anubis ist wieder aktiv und zeigt die Absicht, den aktuelleren Cerberus vom Thron zu stoßen. Anubis ist der neue Star auf der Phishing- und Social-Engineering-Bühne. Phishing- und Social-Engineering-Angriffe wollen Opfer zum Download einer scheinbar harmlosen, legalen App bewegen. Der Trick: Die Macher der App verbreiten sie nicht über den offiziellen Google Play Store.
Der Download beschenkt das Opfer nicht nur mit einer App, sondern auch mit einer intelligenten Malware, die Passwörter und andere Daten von fast 200 echten Banking- und Finanz-Apps stehlen kann. Vielleicht haben auch Sie eine davon auf Ihrem Smartphone? Außerdem kann die Schad-Software Screenshots machen, die Kontrolle über Ihre SMS-Nachrichten übernehmen, URLs öffnen und Google Play Protect deaktivieren. Was für ein Schnäppchen.
Wie das funktioniert? Anubis klont seriöse Apps von Google Play, versteckt einen Banking-Trojaner im App-Klon und bringt diesen dann als harmlos wirkende App über Drittanbieter unter die User. Das ist genauso einfach wie wirkungsvoll: Das neu geschnürte App-Paket enthält nicht nur alle Merkmale und Funktionen der ursprünglichen App, sondern auch den Anubis-Trojaner.
Wir stellen Ihnen hier drei Beispiele für schädliche App-Klone vor:

Trojaner im Schafspelz
Die drei gezeigten Original-Apps stammen alle aus dem Google Play Store und sind nicht schädlich! Ihre bösartigen Zwillinge sind schlicht und einfach Ebenbilder des Originals inklusive Malware. Mit der dritten App nutzen Malware-Autoren die aktuelle Coronavirus-Pandemie aus und verbreiten Malware, die sich als legale App tarnt.
Einen Unterschied bemerkt der User erst bei der Installation des App-Klons. Bei diesem Vorgang wird ein Warnhinweis eingeblendet, weil die App nicht von Google Play stammt. Lässt der User die Installation der Drittanbieter-App trotzdem zu, wird der Vorgang fortgesetzt.

Neue App übernimmt die Kontrolle
Nach der Installation verlangt die App volle Kontrolle über das gesamte Gerät. In einigen Fällen fragt sie auch nach der Erlaubnis, Tonaufnahmen machen und auf SMS zugreifen zu dürfen.
Ein interessanter Fall ist die App „Media Player“. Nach der Installation wird die richtige App in der App-Liste als „Video Player“ angezeigt, der Anubis-Klon heißt hier jedoch „Media Player“. Zudem verlangt die schädliche Version zusätzlich zur vollen Kontrolle über das gesamte Gerät weitere, viel gefährlichere Berechtigungen.


Abb. 3: Die schädliche App „Media Player“ fordert gefährliche Berechtigungen
Android-Malware aus dem Modul-Baukasten
Nicht nur das Verhalten der falschen Apps ähnelt sich. All unsere Beispiele verwenden denselben Namen für das schädliche Android-Paket. Das hat für Malware-Autoren den Vorteil, dass sie schädliche Komponenten mehrmals für verschiedene Apps verwenden können.

Sicheres App-Shopping
Diese Fake-Apps sind gute Beispiele dafür, wie Malware-Autoren es schaffen, Ihr Gerät zu infizieren: Sie gaukeln Ihnen vor, eine harmlose App herunterzuladen. Aber in Wahrheit holen Sie sich nicht nur die App, sondern auch schädlichen Code auf Ihr Telefon.
Auch im offiziellen Google Play Store sind Sie nicht automatisch vor schädlichen Apps sicher. Erst kürzlich hat Google eine gefälschte VPN-App gelöscht, die von über 100 Millionen Menschen genutzt wurde. Außerdem wurden infizierte Spiele-Apps für Kinder entfernt.
Anders als inoffizielle Drittanbieter-Stores wird der Play Store aber regelmäßig kontrolliert und verdächtige Apps auf Hinweise von Sicherheitsexperten entfernt.
Beherzigen Sie beim App-Kauf diese drei Social-Distancing-Tipps, um sich zu schützen:
- Bleiben Sie immer im sicheren Bereich des Play Stores.
- Prüfen Sie, warum bestimmte Apps Berechtigungen einfordern und gewähren Sie diese nicht unbesehen.
- Sorgen Sie dafür, dass Sie immer ein Antiviren-Programm auf Ihrem Gerät haben.
Avira erkennt diese gefälschten Apps als ANDROID/Dropper.BAD.Gen.
IOCs
SHA-256 | Paketname |
9af40bd913f4612a790c4fd2821b4e8a6ce7d15503484c35a5e8452e20845d8a | com.doktorumapp |
612da67e5c5eb4288ec4c5ef60598d75bd156d25217f123de8d2e85ef215fa4d | com.mefree.videoplayer |
7559dff487b11e7366f0a6f952dd808e376844609c9f5af6a1ebda09ffe30bb0 | cat.gencat.mobi.StopCovid19Cat |
Dieser Artikel ist auch verfügbar in: Englisch