Apklab.io erkennt bösartige COVID-19-Anwendungen

Nikolaos Chrysaidos, 20 März 2020

Wenn Ihr Euch fragt, ob eine Coronavirus-App legitim ist, gebt sie bei apklab.io ein und findet es heraus

Jeder hat das Coronavirus im Kopf, auch die Cyberkriminellen. Und ich bin schon lange genug in dieser Branche, um zu wissen, dass in der Welt des Online-Betrugs leider nichts heilig ist. Selbst etwas so todernstes wie eine Pandemie wird ausgenutzt, sobald jemand damit Geld verdienen kann. Und da in der letzten Woche Hunderte von Anwendungen mit COVID-19-Informationen entstanden sind und noch mehr folgen werden, wird es für den normalen Anwender immer schwieriger werden, Gut von Böse, Rechtmäßig von Schadhaft, Wahrheit von glatter Lüge unterscheiden zu können. 

Heute habe ich dazu Neuigkeiten: Avast startet eine neue Initiative auf apklab.io, seiner Threat-Intelligence-Plattform für mobile Gefahren, um es Forschern zu erleichtern, sowohl neue COVID-bezogene Apps zu melden, als auch zu untersuchen. Bisher haben wir über 450 Anwendungen gefunden, die sich den Coronavirus zum Thema gemacht haben. Davon haben wir 35 als bösartig eingestuft. Die Arten von Malware variieren von Ransomware zu Spionagesoftware bis hin zu Banking-Trojanern, aber im Grunde versuchen alle, den aktuellen Hype um den Coronavirus zu missbrauchen. Während wir weiterhin alle Apps analysieren, um die Gutartigen von den Betrügerischen zu unterscheiden, laden wir die Forschungsgemeinschaft ein, sich ebenfalls zu beteiligen. Wir haben unsere Feeds so angepasst, dass die Kompromittierungsindikatoren (IoCs) der Öffentlichkeit zugänglich sind, damit sich andere Sicherheitsforscher unseren Untersuchungen anschließen können. Forscher können hier eine Einladung anfordern, um unsere eingehende Analyse der Apps genauer zu untersuchen. Wir können die Ausbreitung von COVID-19 nicht verhindern, aber wenn wir als Gemeinschaft zusammenarbeiten, können wir dazu beitragen, die Verbreitung schadhafter Apps zu stoppen, die die Krise ausnutzen. Wir laden auch andere Unternehmen ein, dem Beispiel zu folgen.

Forscher sind herzlich eingeladen, die von uns bisher gesammelten Proben zu analysieren, die in Coronavirus-Apps und Coronavirus-URLs unterteilt wurden.

Auch wenn Ihr keine Forscher seid, die in der Lage sind, Code zu analysieren, empfehle ich Euch dringend, Euch vor der massenhaften Zunahme von schlechten Coronavirus-Anwendungen in der digitalen Welt zu schützen, indem Ihr diese drei Tipps befolgt:

  1. Nutzt Websites statt Anwendungen. Der Besuch einer Website ist normalerweise viel sicherer als die Installation einer Anwendung auf Eurem Gerät. Tatsächlich stammen die meisten Informationen, die die Apps verwenden sowieso von Websites, also geht einfach direkt zu ihnen, wie z.B. zur Weltgesundheitsorganisation oder zum Robert Koch Institut.  
  2. Installiert nur Apps aus offiziellen Shops. Die überwiegende Mehrheit der Malware wird über inoffizielle App-Stores von Drittanbietern verbreitet. Stellt also sicher, dass Ihr den Google Play Store oder den Apple App Store verwendet, um Eure Apps herunterzulanden. 
  3. Holt Euch eine zweite Meinung zu der App ein. Bevor Ihr eine neue App installiert, seht Euch an, wie viele Downloads diese bisher hat und lest die Bewertungen. Dadurch könnt Ihr besser einschätzen, ob sie nützlich ist oder eher nicht.

Die Fehlinformationen und Desinformationen, die über COVID-19 verbreitet werden, reichen von gefälschten Virenausbruchkarten bis hin zu fragwürdigen Heilmitteln für die Krankheit und vielem mehr. Vermeidet all diese Verwirrung, indem Ihr nur auf die Experten hört. Als Gesellschaft üben wir uns in sozialer Distanzierung, um die Eskalation der Krankheit zu verhindern. Als Einzelne sollten wir uns von der Masse der falschen Informationen über das Virus distanzieren, um die Eskalation von Panik und schädlichen Aktionen zu verhindern. Bleibt sicher, gesund und ruhig. Und wenn Ihr andere Ideen habt, wie apklab.io in dieser Zeit der Krise helfen könnte, kontaktiert uns unter apklab@avast.com oder @apklabio. 

Von den etwa 450 Anwendungen, die wir bislang herausgefiltert haben, werden derzeit etwa 35 als bösartig erkannt, und derzeit verbreitet sich keine davon über offizielle App-Stores wie Google Play, sondern über SMS, Web-URL oder Social Engineering. Die Arten von Malware variieren von Lösegeld- über Spyware- bis hin zu Banktrojanern und alle haben gemeinsam, dass sie versuchen, den aktuellen Hype, der beispielsweise mit dem Coronavirus verbunden ist, zu missbrauchen:

Covid19 / Coronavirus Tracker: Ein klassisches Beispiel für Lösegeld-Software, die den Benutzer des Telefons aussperrt und ein Lösegeld von 100 bis 250 Dollar in Bitcoin verlangt, um das Telefon freizuschalten.

Corona live 1.1: Diese App verwendet das offizielle Samsung Health App-Symbol und hat die Möglichkeit, auf den Standort und die Kontakte des infizierten Geräts zuzugreifen, SMS zu lesen, auf die Smartphone-Kamera zuzugreifen und Bilder zu machen, Audio aufzuzeichnen, laufende Apps zu überprüfen und vieles mehr. Es meldet die Daten an einen URL-Host zurück, der mit anderen Malware-Samples verbunden ist.

Coronavirus: Diese Anwendung beherbergt ebenfalls Malware, insbesondere den berühmten Banking-Trojaner Cerberus, der eine Überlagerung über echte Bankanwendungen erstellt, um die Zugangsdaten von Nutzern zu stehlen, auf die SMS zuzugreifen oder Kontaktdaten zu sammeln.

 

Zugehörige Artikel