Fake Apps

Die Zahl der gefälschten und bösartigen Smartphone-Apps wächst - und sie richten immer größeren Schaden an.

von Christoph Weiss

Dass Smartphones ziemliche Virenschleudern sind, ist mittlerweile allgemein bekannt. Am häufigsten fängt man sich bösartige Software auf Android-Handys ein, aber auch iPhones werden nicht verschont. Das häufigste Einfallstor: der AppStore bzw. Google Play Store - obwohl Apple und Google vorgeben, eh gut aufzupassen. Tatsächlich häufen sich die Vorfälle, und Fake-Apps richten immer größeren Schaden an.

„Taschendiebstahl“

Traurige Berühmtheit bei Kryptowährungs-Fans erlangte etwa der Fall des gefälschten Breadwallet. Das Original ist eines der bequemsten und beliebtesten Bitcoin-Wallets, eine virtuelle Geldtasche für Bitcoins. Vor einigen Monaten tauchten dann im AppStore gleich mehrere gefälschte Breadwallets auf. Sie sahen täuschend echt aus. Der Open Source Code des Originals war kopiert und leicht modifiziert worden, sodass Bitcoins, die man an dieses Wallet geschickt hat, gleich an den Fälscher weitergeleitet wurden. Apple war das zwar peinlich, für den Schaden aufgekommen ist der Konzern aber nicht.

Vorigen Sommer, am Höhepunkt des „Pokémon Go“-Hypes, entdeckten Forscher der slowakischen Sicherheitsfirma ESET mehrere gefälsche Pokémon Apps - sowohl des Spiels selbst, als auch diverser Karten- und Hilfs-Tools. Dieselben Experten haben jetzt zwei als Wetter-Apps getarnte Android-Trojaner gefunden.

User fallen zunehmend auf solche Fake-Apps herein, weil die Menge an neuer Software in den Appstores so rasant wächst. „Es ist zunehmend schwieriger für uns als Konsumenten, die legitimen Apps von den Fake-Apps auseinanderzuhalten“, sagt Steven Cobb von ESET.

Ein Botnetz aus Smartphones

Der Schaden, den die die beiden Apps „Good Weather“ und „World Weather“ vor kurzem anrichteten, war beträchtlich: Sie kaperten die infizierten Geräte, banden sie in ein Botnetz ein und spionierten die User aus. Abgesehen hatten es die Angreifer vor allem auf die Anmeldeinformationen von Banken. Um auch an TANs, die man sich bei Überweisungen üblicherweise per SMS schicken lässt, zu gelangen, wurden auch die Kurznachrichten mitgelesen. Außerdem konnten die Kriminellen das Android-Smartphone ferngesteuert sperren.

Nach dem Tipp von ESET konnten die Command-and-Control-Server, die das Botnetz gesteuert haben, vom Netz genommen worden. Zu diesem Zeitpunkt waren schon 2.810 Nutzer in 48 Ländern betroffen. Steven Cobb von ESET sagt, der beste Schutz sei, sich vor dem Download einer App genau zu informieren. Zuerst checkt man den Namen des Herstellers, der die App in den Store gestellt hat. „Vor dem Installieren geht man am besten auf die Website dieses Herstellers und schaut sich an, wie er sich präsentiert und wie die App genau aussieht.“ Dann sollte man die Berechtigungen und Reviews einer App im Store genau checken: „Wieviele Reviews hat die App? Wieviele Downloads hat sie?“

Eigene Präventionsmaßnahmen sind gefragt

Auch ein guter Virenscanner gehört auf jedes Smartphone. Bei Android ist das kein Problem, Apple erlaubt absurderweise keine Virenscanner - iOS-User mit Jailbreak sind hier im Vorteil. Der Schadcode der beiden Fake-Wetter-Apps treibt auf Android übrigens weiterhin sein Unwesen: Zwar sind die beiden Apps mittlerweile nicht mehr erhältlich, doch deren Software basiert auf im Internet frei verfügbaren Open-Source-Code, der in russischen Online-Foren verbreitet wird. Eigene Präventionsmaßnahmen sind also wichtiger denn je.