Oft versuchen Cyberkriminelle, Apps in App Stores unterzubringen, die nicht nur das tun, was Downloadern vorgegaukelt wird. Nicht immer, aber meist werden solche Apps einigermassen schnell gefunden und wieder entfernt, bevor sie allzu oft heruntergeladen wurden.

Nun berichtet der Security-Softwareanbieter Eset von einer neuen, beunruhigenden Entwicklung auf diesem Gebiet: Eset-Spezialisten hätten erstmals eine ursprünglich legitime App entdeckt, die von Kriminellen gezielt gekapert worden sei, um sie für ihre Zwecke zu missbrauchen. Es handelt sich um die App "QRecorder", die im Google Play Store angeboten wurde. Mittels QRecorder können Android-User Gespräche aufzeichnen. Den Angreifern sei es jedoch gelungen, sie durch einen manipulierten Update in einen E-Banking-Trojaner zu verwandeln. Gefährdet seien mehrere zehntausend QRecorder-Nutzer in der Schweiz sowie in Deutschland, in Österreich, in Polen und in der Tschechischen Republik.

"Wir konnten feststellen, dass die ursprünglich legitime Anwendung trojanisiert wurde", berichtet Thomas Uhlemann, Security Specialist bei Eset. "Unsere Analyse zeigt, dass eines der letzten Updates die App in Malware verwandelt hat. Jetzt sorgt sie dafür, dass ein gefährlicher Code in die Android-Geräte eingespielt wird", so Uhlemann weiter.

Der Update-Prozess einer Software oder einer App sollte eigentlich penibelst geschützt sein, so dass nur Updates akzeptiert werden, die ganz sicher vom jeweiligen Anbieter stammen. Wie es den Hackern gelang, den Sicherheitsmechanismen in diesem Falle auszuhebeln, ist auch Eset nicht bekannt. Der Security-Anbieter warnt aber, dass mit dieser Manipulation mobile Cyberkriminalität eine neue Gefahrenstufe erreicht habe. "Nutzer können nicht länger sicher sein, dass eine vermeintlich nützliche App aus einer seriösen Quelle tatsächlich harmlos ist", so Uhlemann.

Nach dem manipulierten Update hatten die Angreifer gemäss Eset durch einen verschlüsselten Befehl von einem Server aus die neuen Malware-Funktionen in Qrecorder aktivieren können. Danach durchsucht die Malware das befallene Gerät nach Anwendungen wie Banking-Applikationen. Unbemerkt vom Nutzer werde ein zusätzliches Modul auf das Smartphone geladen, das eine unsichtbare zusätzliche Eingabemaske über die Zielanwendung legte. Dadurch könnten die Hacker die Anmeldeinformationen des Benutzers abgreifen.

Darüber hinaus erhielten die Angreifer auch Zugang zu den Textnachrichten, die der am häufigsten verwendete zweite Sicherheitsfaktor für die Authentifizierung bei Finanztransaktionen ist. Somit könnten die Kriminellen per Fernzugriff Geld vom Bankkonto des Opfers überweisen, ohne dass der Anwender etwas von diesen Transaktionen bemerkt, sagt Eset.

Inzwischen bietet Google Play laut Eset eine aktualisierte Version der QRecorder-App an. Die Originalversion des QRecorders habe Google entfernt, nachdem die Warnung von Eset eintraf. (hjm)