Spyware aus Google Play massenhaft heruntergeladen
Experten haben eine gefährliche Spyware-Kampagne enthüllt, bei der die Malware 'Mandrake' über Google Play verbreitet wird. Als harmlose Apps getarnt – von Kryptowährungs-Tools über Astronomie-Anwendungen bis hin zu nützlichen Hilfsprogrammen – infiziert die Malware ahnungslose Nutzer. Besonders alarmierend: Auch Nutzer aus Deutschland sind betroffen. Die Spionage-Kampagne ist seit mindestens 2016 aktiv und stellt eine erhebliche Bedrohung für die Datensicherheit dar.
Fünf der von Kaspersky entdeckten Apps sind seit zwei Jahren im Google Play Store verfügbar und wurden über 32.000 Mal heruntergeladen. Dank fortschrittlicher Verschleierungs- und Umgehungstechniken konnte die Mandrake-Malware von Sicherheitsanbietern nicht entdeckt werden.
Mandrake ist eine hochentwickelte Spionage-Plattform für Android, die erstmals 2020 identifiziert wurde, aber schon seit mindestens 2016 aktiv ist. Im April 2024 entdeckten Kaspersky-Experten eine neue Version von Mandrake mit erweiterten Funktionen. Diese neuen Techniken umfassen:
- Verlagerung schädlicher Funktionen in systemeigene Libraries mit OLLVM,
- Verwendung von Certificate Pinning für sichere Kommunikation mit C2-Servern (Command-and-Control),
- Überprüfung, ob Mandrake auf einem gerooteten Gerät oder in einer virtuellen Umgebung läuft.
Bis Juli 2024 wurden keine der Apps von Sicherheitsanbietern als Malware erkannt. Mandrake tarnte sich im Google Play Store als Apps für Filesharing über WLAN, astronomische Dienstleistungen, Kryptowährung, Logikpuzzles und als Spiel zum Charakter „Amber“ aus dem RPG „Genshin Impact“. Die meisten Downloads kamen neben Deutschland aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich. Diese Apps sind mittlerweile aus dem Google Play Store entfernt worden.
Kaspersky-Experten vermuten, dass der gleiche Bedrohungsakteur hinter der aktuellen Kampagne steckt wie im Bitdefender-Bericht von 2016, basierend auf Ähnlichkeiten zu früheren, in Russland registrierten C2-Kampagnen.
„Nachdem die ursprüngliche Mandrake-Kampagne vier Jahre lang unentdeckt blieb, konnte auch die aktuelle Kampagne zwei Jahre lang im Google Play Store unentdeckt bleiben. Dies zeigt die fortgeschrittenen Fähigkeiten der Angreifer hinter der Malware“, sagt Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Dies ist ein besorgniserregender Trend: Mit strengeren Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und schwieriger zu erkennen.“
Kaspersky-Empfehlungen zum Schutz vor Spyware:
- Nur aus offiziellen Stores herunterladen: Vermeiden Sie Drittanbieter-Stores, die oft schädliche Apps enthalten. Überprüfen Sie vor dem Download die Bewertungen und Kommentare.
- Antiviren- und Malware-Software nutzen: Installieren und aktualisieren Sie zuverlässige Software, und scannen Sie regelmäßig Ihre Geräte auf Bedrohungen.
- Über aktuelle Bedrohungen informieren: Bleiben Sie auf dem Laufenden über neue Cyber-Bedrohungen und seien Sie vorsichtig bei unerwarteten Anfragen oder Angeboten, die persönliche oder finanzielle Informationen verlangen.
Weitere Informationen zur Mandrake-Kampagne gibt es hier.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
