Werbe-Betrug in der zweiten Generation: “HummingWhale” infiltriert Google Play

Keine Kommentare
 

Sicherheitsforscher des Softwareunternehmens Check Point warnen aktuell vor der Android-Malware “HummingWhale”, die schon mehr als 12 Millionen Smartphones befallen haben soll. In mehr als 20 präparierten Apps in Googles Play Store wurde der Schädling bisher gefunden. Zwar wurden diese mittlerweile entfernt – die Wahrscheinlichkeit, dass stattdessen alternative App-Stores als neue Verbreitungswege genutzt werden, ist jedoch sehr hoch.


Handy mit App Store geöffnet

Werbe-Betrug in der zweiten Generation: “HummingWhale” infiltriert Google Play (Pixabay.com / JuraMin)

Dem ein oder anderen dürfte die Malware “HummingWhale” bekannt vorkommen. Und tatsächlich gelang es den Machern des aktuellen Trojaners bereits im vergangenen Jahr mit dem HummingWhale-Vorgänger “HummingBad”, mehr als 10 Millionen Android-Geräte zu infizieren. Der neue Schädling ist eine Weiterentwicklung seines Vorgängers, die sich noch besser auf infizierten Systemen zu verbergen weiß und sehr schwer zu entfernen ist. Das Einblenden und automatisierte Anklicken von Werbeanzeigen sowie das unbemerkte Nachladen weiterer Apps stellen nach wie vor die wichtigsten Schadfunktionen dieser Malware-Familie dar.

VM-Features statt Root-Zugriff

Versucht ein Nutzer, die von HummingWhale eingeblendeten Werbeanzeigen zu schließen, weicht die Malware in eine virtuelle Maschine (VM) aus. Sie simuliert dort ein echtes, unabhängiges Endgerät und startet diverse schädliche Anwendungen. Dabei generiert sie eine eindeutige Referer-ID, die den HummingWhale-Programmierern automatisierte Werbeeinnahmen zusichert.

HummingWhales VM-Funktionalität basiert übrigens auf einer legitimen Android-Erweiterung, dem DroidPlugin der chinesischen Firma Qihoo 360. Diese ermöglicht der Malware unter anderem, ohne weitreichende Berechtigungen eine beliebige Zahl weiterer Anwendungen zu installieren und schädliche Aktivitäten auf diese Weise besonders effektiv zu verbergen. Die Malware benötigt somit – anders als HummingBad und viele andere Schädlinge – keinerlei Root-Rechte.

Experten raten weiterhin zur Vorsicht

Check Point veröffentlichte eine Liste der 20 enttarnten HummingWhale-Exemplare aus dem Play Store. In vielen Fällen handelt es sich dabei um gefälschte Kamera-Apps mit Namen wie Whale Camera, Blinking Camera oder Rainbow Camera. Aber auch vermeintliche Tools zum Reinigen des Smartphone-Speichers (Fast Cleaner, Deep Cleaner) sowie Dateiverwaltungs- und Performance-Tools dienten als Fassade für die HummingWhale-Installation.

Es kann nicht sicher ausgeschlossen werden, dass noch weitere getarnte Exemplare dieser Malware-Spezies im Play Store sowie in alternativen Stores lauern. Negative Bewertungen anderer Nutzer können nur bedingt dabei helfen, sie aufzuspüren: Laut Check Point nutzen die HummingWhale-Macher gefälschte oder manipulierte Bewertungen, um die Reputation der betreffenden Apps zu verbessern. Die Experten raten, sich nicht nur auf die Sicherheitsmechanismen des Play Stores zu verlassen. Besonnenheit bei der Installation unbekannter Anwendungen sowie die Nutzung von Anti-Malware-Apps können dazu beitragen, Bedrohungen zeitnah als solche zu erkennen.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen