Im Amazon Appstore wurde eine bösartige Android-Spyware-Anwendung namens "BMI CalculationVsn" entdeckt, die sich als einfaches Gesundheits-Tool tarnt, aber im Hintergrund Daten von infizierten Geräten stiehlt.
Die Anwendung wurde von Forschern der McAfee Labs entdeckt, die Amazon benachrichtigten, woraufhin die Anwendung aus dem Store entfernt wurde.
Diejenigen, die die Anwendung installiert haben, müssen sie jedoch manuell entfernen und einen vollständigen Scan durchführen, um alle verbliebenen Spuren zu beseitigen.
Android-Spionageprogramme im Amazon-Store
Der Amazon Appstore ist ein App-Store eines Drittanbieters für Android-Geräte, der auf Amazon Fire-Tablets und Fire TV-Geräten vorinstalliert ist.
Es ist auch eine Alternative zu Google Play für Besitzer von Android-Geräten, die die Google-Plattform nicht nutzen können oder wollen, und bietet sogar exklusive Amazon Prime-Spiele und -Inhalte.
Die von "PT Visionet Data Internasional" veröffentlichte Spyware-App BMI CalculationVsn wird als einfaches Tool zur Berechnung des Body-Mass-Index (BMI) beworben.
Spyware-Anwendung
Spyware-App im Amazon Appstore
Quelle: McAfee
Opening the malicious app welcomes the user to a simple interface that provides the promised functionality, such as calculating their BMI. However, additional malicious actions are happening in the background.First, the app starts a screen recording service that requests the appropriate permission when the user clicks the ‘Calculate’ button, which can be deceptive and trick people into reflex approvals.
Erlaubnis zur Aufzeichnung des Bildschirms beantragen
Erlaubnis zur Aufzeichnung des Bildschirms beantragen
Quelle: McAfee
Laut McAfee ist die Aufnahme lokal in einer MP4-Datei gespeichert, wurde aber nicht auf den Command-and-Control-Server (C2) hochgeladen, was wahrscheinlich darauf zurückzuführen ist, dass sich die App noch in einer frühen Testphase befindet.
Code zum Aufzeichnen des Gerätebildschirms
Code zum Aufzeichnen des Gerätebildschirms
Quelle: McAfee
Eine genauere Untersuchung der Veröffentlichungshistorie durch die Forscher ergab, dass die App erstmals am 8. Oktober in der freien Wildbahn auftauchte. Bis zum Ende des Monats hatte sie ihr Symbol geändert, weitere bösartige Funktionen hinzugefügt und die Zertifikatsinformationen geändert.
Die zweite bösartige Aktion, die die App durchführt, ist das Scannen des Geräts, um alle installierten Anwendungen abzurufen, so dass die Angreifer ihre nächsten Schritte planen können.
Schließlich fängt die Spyware SMS-Nachrichten ab und sammelt sie, die auf dem Gerät gesendet und gespeichert werden, einschließlich einmaliger Passwörter (OTPs) und Verifizierungscodes.
Diebstahl sensibler Benutzerdaten
Diebstahl sensibler Benutzerdaten
Quelle: McAfee
Angesichts der Tatsache, dass gefährliche Apps immer noch durch die Ritzen der Codeprüfung in legitimen und ansonsten vertrauenswürdigen Stores wie dem Amazon Appstore schlüpfen können, ist es für Android-Nutzer wichtig, nur Apps von bekannten Herausgebern zu installieren.
Es wird auch empfohlen, die angeforderten Berechtigungen zu überprüfen und riskante Berechtigungen auch nach der Installation zu widerrufen.
Google Play Protect kann bekannte Malware, die von Partnern der App Security Alliance, darunter McAfee, entdeckt wurde, erkennen und blockieren, weshalb es wichtig ist, es auf Android-Geräten aktiv zu halten.
