Intelligenter Trojaner im Google Play Store

Wer ist betroffen?

Malware
Der Trojaner versteckt sich recht gut (Bild: Ross Burgess/Wikipedia unter CC BY-SA 3.0)

Momentan wurde der Trojaner vor allem in Indien identifiziert, wo sich ca. dreiviertel aller Opfer befinden. Aufgrund der langen Zeit, in der der Trojaner bereits aktiv ist, sind Geschädigte auf der ganzen Welt zu vermuten. Manche Anomalien gehen bis in das Jahr 2013 zurück. Android-Geräte wurden über versteckte Dateien, die gemeinsam mit Spielen heruntergeladen wurden, infiziert.

Über den Google Play Store waren über Monate infizierte Spiele dubioser Anbieter zu finden, die die Schadsoftware unbemerkt auf die Smartphones schmuggeln konnten. Auch sehr bekannte Namen sind unter den Spieltiteln. Folgende Spiele bzw. Nachfolgerversionen sind betroffen gewesen und aktuell aus dem Store entfernt:

  • Plants vs Zombies 2
  • Temple Run 2 Zombies
  • Zombie Highway Killer
  • Super Hero Adventure
  • Jewel Crush
  • Candy Crush
  • Hill climb Racing the Game
  • Traffic Racer
  • Subway Suffers
  • Racing Rivals
  • Super Maria Journey
  • Zombi Tsunami
  • Classic Brick Game
  • Tom Cat Talk

Manche der Titel könnten über Drittanbieter immer noch im Umlauf sein. Einige der Entwickler der infizierten Spiele sind TopGameHit, TopGame24h, PRStudio sowie SHSH. Die Anzeigebilder der angeblichen Fortsetzungen ähneln den Originale sehr stark und sind schwer von den beliebten Top Spielen wie oben genanntem „Candy Crush“ zu unterscheiden.

Wie funktioniert der Trojaner?

Hacker
(Bild:XtravaganT/Fotolia)

Was die Anwendungen verrät, sind verdächtige Namen wie „systemdata“ oder „resourcea“. Nach der Installation des Spieles inklusive der Schadsoftware vergehen nicht selten Tagen, bis sich erste Anzeichen für eine ominöse Anwendung zeigen. Die Experten von ESET haben den Trojaner als Android/Mapin enttarnt, die betroffenen Spiele werden Android/TrojanDropper.Mapin genannt.

Der schlaue Backdoor-Trojaner kann in verschiedenen Anwendungsbereichen zum Einsatz kommen. So aktiviert er beispielsweise Zahlungen (Payload), das jedoch verzögert nach dem Nutzen der App vonstatten geht, somit ist ein Zusammenhang zwischen Fehlverhalten des Android-Gerätes und App schwer nachzuvollziehen und vermutlich auch deswegen bleib der Trojaner so lange unentdeckt.

Timer kann er über einen Zugriff auf das Botnets bekommen. Er fordert sogar Adminrechte ein und kann so eine Kommunikation mit seinem C&C-Server ermöglichen. Neben komischen Meldungen, der Fähigkeit die privaten Funktionen auszuspähen und andere Anwendungen herunterzuladen, wird Android/Mapin vor allem dazu gebraucht, um Vollbildwerbungen zu zeigen und dies auf penetrante Weise durchzuziehen.

Um dem Problem zu begegnen, sollten betreffende Apps gelöscht werden und vor allem sollte ein Scan durch einen Fachmann erfolgen, um sicherzugehen, dass die Schadsoftware wirklich entfernt werden konnte. Die beste Vorsorgemaßnahme ist eine sorgfältige Auswahl aller Spiele- und auch sonstigen Apps.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.