Im Amazon Appstore wurde eine bösartige Android-Spyware-Anwendung namens "BMI CalculationVsn" entdeckt, die sich als einfaches Gesundheits-Tool tarnt, aber im Hintergrund Daten von infizierten Geräten stiehlt.
Die Anwendung wurde von Forschern der McAfee Labs entdeckt, die Amazon benachrichtigten, woraufhin die Anwendung aus dem Store entfernt wurde.
Diejenigen, die die Anwendung installiert haben, müssen sie jedoch manuell entfernen und einen vollständigen Scan durchführen, um alle verbliebenen Spuren zu beseitigen.
Android-Spionageprogramme im Amazon-Store
Der Amazon Appstore ist ein App-Store eines Drittanbieters für Android-Geräte, der auf Amazon Fire-Tablets und Fire TV-Geräten vorinstalliert ist.
Es ist auch eine Alternative zu Google Play für Besitzer von Android-Geräten, die die Google-Plattform nicht nutzen können oder wollen, und bietet sogar exklusive Amazon Prime-Spiele und -Inhalte.
Die von "PT Visionet Data Internasional" veröffentlichte Spyware-App BMI CalculationVsn wird als einfaches Tool zur Berechnung des Body-Mass-Index (BMI) beworben.
Spyware-Anwendung
Spyware-App im Amazon Appstore
Quelle: McAfee
Beim Öffnen der bösartigen App wird der Benutzer auf einer einfachen Benutzeroberfläche begrüßt, die die versprochenen Funktionen bietet, z. B. die Berechnung des BMI. Im Hintergrund laufen jedoch weitere bösartige Aktionen ab.
Zunächst startet die App einen Bildschirmaufzeichnungsdienst, der die entsprechende Berechtigung anfordert, wenn der Nutzer auf die Schaltfläche "Berechnen" klickt, was irreführend sein und zu einer reflexartigen Zustimmung verleiten kann.
Erlaubnis zur Aufzeichnung des Bildschirms beantragen
Erlaubnis zur Aufzeichnung des Bildschirms beantragen
Quelle: McAfee
Laut McAfee ist die Aufnahme lokal in einer MP4-Datei gespeichert, wurde aber nicht auf den Command-and-Control-Server (C2) hochgeladen, was wahrscheinlich darauf zurückzuführen ist, dass sich die App noch in einer frühen Testphase befindet.
Code zum Aufzeichnen des Gerätebildschirms
Code zum Aufzeichnen des Gerätebildschirms
Quelle: McAfee
Eine genauere Untersuchung der Veröffentlichungshistorie durch die Forscher ergab, dass die App erstmals am 8. Oktober in der freien Wildbahn auftauchte. Bis zum Ende des Monats hatte sie ihr Symbol geändert, weitere bösartige Funktionen hinzugefügt und die Zertifikatsinformationen geändert.
Die zweite bösartige Aktion, die die App durchführt, ist das Scannen des Geräts, um alle installierten Anwendungen abzurufen, so dass die Angreifer ihre nächsten Schritte planen können.
Schließlich fängt die Spyware SMS-Nachrichten ab und sammelt sie, die auf dem Gerät gesendet und gespeichert werden, einschließlich einmaliger Passwörter (OTPs) und Verifizierungscodes.
Diebstahl sensibler Benutzerdaten
Diebstahl sensibler Benutzerdaten
Quelle: McAfee
Angesichts der Tatsache, dass gefährliche Apps immer noch durch die Ritzen der Codeprüfung in legitimen und ansonsten vertrauenswürdigen Stores wie dem Amazon Appstore schlüpfen können, ist es für Android-Nutzer wichtig, nur Apps von bekannten Herausgebern zu installieren.
Es wird auch empfohlen, die angeforderten Berechtigungen zu überprüfen und riskante Berechtigungen auch nach der Installation zu widerrufen.
Google Play Protect kann bekannte Malware, die von Partnern der App Security Alliance, darunter McAfee, entdeckt wurde, erkennen und blockieren, weshalb es wichtig ist, es auf Android-Geräten aktiv zu halten.
