Angriffe auf Android-Nutzer

Kriminelle platzieren Malware in Google Play

14. April 2023, 8:00 Uhr | Wilhelm Greiner
© Kaspersky

Im Darknet stehen Entwicklerkonten für Google Play ab 60 Euro zum Verkauf, Loader-Schadcode ab 2.000 Dollar, so ein Bericht von Kaspersky. Kriminelle offerieren dabei, nicht nur die Malware in Googles App-Store zu veröffentlichen, sondern auch passende Werbung auf Google zu schalten. Zugleich berichtet Kaspersky von anhaltenden, aber leicht rückläufigen Angriffen auf Industrieanlagen.

Die Betreiber Apple und Google überwachen ihre App-Stores streng. Dennoch fallen nicht alle schädlichen Apps auf, bevor sie im App-Store verfügbar sind. So werden laut Kaspersky jedes Jahr zahlreiche solcher Apps bei Google Play erst gelöscht, nachdem bereits Endgeräte damit infiziert sind. Um herauszufinden, wie Schad-Apps in offizielle App-Stores gelangen, haben Kaspersky-Fachleute neun Darknet-Foren untersucht, die dem Kauf und Verkauf von Waren und Dienstleistungen im Zusammenhang mit Malware dienen.

Wie auf dem freien Markt gibt es im Darknet laut Kaspersky-Erkenntnissen unterschiedliche Angebote für Kunden mit unterschiedlichen Anforderungen und Budgets. Um eine Schad-App im Store zu veröffentlichen, benötigen Kriminelle ein Google-Play-Konto und einen schädlichen Downloader-Code (Google Play Loader). Ein Entwicklerkonto kann man schon für 200 Dollar erwerben, mitunter sogar für nur 60 Dollar, so Kaspersky. Die Kosten für schädliche Loader liegen zwischen 2.000 und 20.000 Dollar, abhängig von der Komplexität der Malware, der Neuheit und Verbreitung des Schadcodes oder zusätzlichen Funktionen.

Meist, so die Security-Forscher, schlagen die Kriminellen vor, die Malware in Trackern für Kryptowährungen, Finanz-Apps, QR-Code-Scannern oder Dating-Apps zu verstecken. Dabei weisen sie auch darauf hin, wie viele Downloads die legitime Version einer App bereits hat, also wie viele potenzielle Opfer es gibt, wenn die App um den Schadcode erweitert würde. Am häufigsten werden 5.000 Downloads oder mehr angegeben.

Täuschen von Sicherheitslösungen gegen Aufpreis

Gegen eine zusätzliche Gebühr verschleiern die Malware-Programmierer den App-Code, um die Erkennung durch Security-Tools zu erschweren. Um das Download-Volumen einer Schad-App zu erhöhen, bieten viele Kriminelle zudem den Kauf von Installationen an, um den Datenverkehr über Google-Anzeigen zu leitenzu  und mehr Nutzer zum Herunterladen der App animieren.

Die Kosten hierfür variieren je nach Land: Der Durchschnittspreis beträgt 0,50 Dollar, das niedrigste Angebot, das die Forscher vorfanden, 0,10 Dollar. Das teuerste entdeckte Angebot umfasste mit 0,80 Dollardie Werbung für Nutzer aus den USA und Australien.

Die Cyberkriminellen bieten drei unterschiedliche Geschäftsmodelle an: Anteil am Endgewinn, Miete für ein Konto oder eine Bedrohung sowie den Kauf eines Kontos oder einer Bedrohung. Einige Verkäufer veranstalten laut Kaspersky-Erkenntnissen sogar Auktionen, um ihre Waren zu verkaufen. So entdeckten die Forscher ein Angebot, bei dem der Startpreis bei 1.500 Dollar lag und der Sofortkaufpreis bei 7.000 Dollar.

Darknet-Verkäufer bieten außerdem an, die Schad-App für den Käufer zu veröffentlichen, damit diese selbst nicht direkt mit Google Play interagieren müssen und dennoch alle gesammelten Daten der Opfer erhalten. In solch einem Fall könnte der Entwickler den Käufer leicht täuschen, doch auch unter Darknet-Verkäufern zählt laut Kaspersky der gute Ruf: Es werden Garantien gegeben und Zahlungen erst nach Service-Abschluss akzeptiert. Dafür greifen Cyberkriminelle häufig auf die Dienste unbeteiligter Vermittler zurück.

Industrie nach wie vor im Visier Cyberkrimineller

Des Weiteren meldete Kaspersky, die hauseigene Sicherheitssoftware habe im zweiten Halbjahr 2022 in der DACH-Region Malware aus 1.292 verschiedenen Familien blockiert, die auf Industriesysteme in den Bereichen Gebäudeautomation, Automobilbau, Öl und Gas, Energie oder Maschinenbau zielte. Im Vergleich zum ersten Halbjahr 2022 (16 Prozent) und zum zweiten Halbjahr 2021 (21 Prozent) sei die Anzahl damit rückläufig.

Den Großteil der Bedrohungen machten laut Kasperskys ICS CERT schädliche Skripte und Phishing-Seiten (JavaScript und HTML mit 4,6 Prozent) aus. Es folgten schädliche Internet-Ressourcen (3,8 Prozent) sowie Spyware (2,5 Prozent). Grundsätzlich aber, so betont Kaspersky, sei festzustellen, dass Cyberangriffe auf OT-Systeme (Operational Technology) der Industrie nicht nachlassen.

Die Industrie in Deutschland, Österreich und der Schweiz ist nach wie vor ein beliebtes Angriffsziel von Cyberkriminellen. Allein in Deutschland belief sich der Schaden durch Diebstahl, Industriespionage und Sabotage im vergangenen Jahr laut Bitkom auf knapp 203 Milliarden Euro (einschließlich aller hochgerechneten Folgekosten wie Umsatzeinbußen, Imageschaden, Rechtskosten und Mitarbeiterfluktuation). Diebstahl, Industriespionage und Sabotage erfolgen dabei laut Bitkom zunehmend auf digitalem Weg.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Das könnte Sie auch interessieren

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaspersky

Weitere Artikel zu Cybercrime

Weitere Artikel zu Broadcom

Weitere Artikel zu Cloakware

Matchmaker+