Pokémon Go: Android App-Version mit integrierter „Hintertür“ aufgetaucht

15. Juli 2016 @

SEHDNE-NEWS.DE. Die kleinen Taschenmonster Pokémon sind zurück: Als Virtual Reality-Spiel für das Smartphone feiern die aus Japan stammenden Tierchen ein Comeback. Angreifer machen sich die Popularität des brandneuen Spiels zunutze und ködern ungeduldige User mit manipulierten Apps: Mindestens eine schadhafte App wurde von G Data schon entdeckt.

Nicht nur durch Türen kommen die Diebe ins Hauswarnt G Data - Foto: JPH

Nicht nur durch Türen kommen die Diebe ins Hauswarnt G Data – Foto: JPH

Die Begeisterung hat auch Kriminelle auf dem Plan gerufen: In einem Filesharing-Netzwerk tauchte eine Variante der Installationsdatei auf, die eine Fernsteuerung für Android-Geräte enthält.  Nach bisherigen Erkenntnissen der Firma G Data wurde das eigentliche Spiel mit DroidJack neu verpackt und dabei mit Malware angereichert. DroidJack ist ein Programm, das Android-Entwickler ganz legitim zum Packen von Apps benutzen – wie so häufig, wurde das Tool hier aber für bösartige Zwecke missbraucht.

Die in das Spiel verpackte Malware ist unter dem Namen AndroRAT bekannt und G DATA berichtete schon 2013 in seinem Mobile Malware Report H1/2013 darüber. Mit diesem RAT (Remote Access Tool, engl. Fernzugriffs-Werkzeug) lassen sich zahlreiche Informationen von einem befallenen Gerät abrufen: Neben dem Abruf von Kontaktlisten, Protokollen und GPS-Koordinaten kann ein Angreifer auch aus der Ferne das Mikrofon aktivieren und die Kamera auslösen. Gewonnene Daten können dann gewinnbringend weiterverkauft werden. Auch Erpressungsversuche anhand von Audio-Aufnahmen wären denkbar. Die von der App verlangten Berechtigungen werden bei jedem Download einer App im Play Store angezeigt. Bereits hier kann man verdächtige Apps erkennen. Aktuelle Android-Versionen fragen vor dem ersten Start noch einmal alle Berechtigungen explizit ab.

Erwähnenswert ist auch, dass die G Data vorliegende Version der infizierten App mit einem abgelaufenen Zertifikat signiert wurde. Der Inhaber des Zertifikats betreibt auch einen Blog, der allerdings seit 2014 inaktiv zu sein scheint. Ob die manipulierte App von ihm in Umlauf gebracht wurde oder ob das Zertifikat gestohlen und missbräuchlich verwendet wurde, steht nicht fest – in jedem Fall ist es allerdings ungeschickt, eine App mit einem abgelaufenen Zertifikat zu signieren.

Die Analyse der G DATA Experten zur manipulierten App und Sicherheits-Tipps für Pokémon-Fans sind hier im Internet verfügbar.  G DATA-Kunden sind nach Angabe der Firma vor der manipulierten App, die als „Android.Trojan.Kasandra.B“ erkannt wird, geschützt.

Kommentare gesperrt.

© 2019 Sehnde-News.