Im Google Play Store tummeln sich bösartige Apps (Bild:Google)

Eine Reihe bösartiger Google-Play-Apps, die mehr als 300.000-mal heruntergeladen wurden, hat Bankdaten der User gestohlen. Das fanden Forscher der Sicherheitsfirma Thread Fabric heraus. Die Banking-Trojaner erstellten Screenshots und protokollierten heimlich Passwörter, Zwei-Faktor-Authentifizierungscodes und Tastatureingaben, berichtet "Ars Technica". Um möglichst viele Menschen hinters Licht zu führen, gaben sich die Apps als QR-Scanner, PDF-Scanner oder Krypto-Wallets aus und nutzten mehrere Tricks, um Googles Beschränkungen zu umgehen, mit denen die Verbreitung betrügerischer Apps eingedämmt werden soll.

Was die Erkennung dieser Google-Play-Verbreitungskampagnen aus Sicht der Automatisierung und des maschinellen Lernens sehr schwierig mache, sei die Tatsache, dass die Dropper-Apps alle einen sehr kleinen bösartigen Fussabdruck haben, schreiben die Forscher in einem Blogbeitrag. Dieser sei direkte Folge von Googles Zulassungsbeschränkungen. Deshalb würden anfangs harmlose Apps ausgeliefert. Erst nach Installation, wenn die User bereits Vertrauen aufgebaut haben, werden sie zum Herunterladen von Updates von Drittanbietern aufgefordert. Bei den wenigsten Apps erkannte Googles Virenscanner Virustotal Malware.

Für die meisten Infektionen ist die Schadsoftware-Familie Anatsa verantwortlich. Dabei handle es sich um einen fortschrittlichen Banking-Trojaner mit einer Vielzahl an Funktionen. Darunter die Möglichkeit des Fernzugriffs und automatischer Überweisungssysteme, die die Konten der Opfer leerräumen.