Fake Super Mario Run App stiehlt Kreditkarteninformationen

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Bereits im Dezember letzten Jahres berichtete Trend Micro über gefälschte Apps, die die Popularität des mobilen Spiels Super Mario Run nutzten, um Schadsoftware zu verteilen. Nun haben die Sicherheitsforscher noch mehr bösartige Android Apps gefunden, die denselben Trick anwenden und Kreditkarteninformationen der Nutzer stehlen.

Super Mario Run ist ein mobiles Spiel, das Nintendo zuerst im September 2016 für iOS herausbrachte und am 23. März 2017 für Android. Mobile Spiele waren schon immer attraktive Köder, die die Cyberkriminellen einsetzten, um ihre Opfer dazu zu bringen, bösartige oder unerwünschte Apps herunterzuladen. Ein Beispiel dafür war der Fall von Pokémon Go.

Das Feedback aus dem Smart Protection Network™ zeigt mehr als 400 dieser Apps allein in den ersten drei Monaten dieses Jahres. Im selben Zeitraum fanden die Forscher 34 gefälschte Apps mit dem Namen „Super Mario Run”. Dabei gibt es eine neue Variante „Fobus” (ANDROIDOS_FOBUS.OPSF), die auf den Diebstahl von Kreditkarteninformationen zugeschnitten ist. Sie wird über Drittanbieter App Stores vertrieben und fordert wie üblich verschiedene Berechtigungen an:

Bild 1. Fake App fordert Berechtigungen

Während der Installation verlangt die App, als Geräteadmin aktiviert zu werden. Danach sammelt sie vertrauliche Informationen wie die Mobilnummer, Kontaktinformationen, Standort und SMS-Nachrichten. Die Privilegien erlauben es der App auch, den eigenen Icon zu verbergen, sollte der Nutzer versuchen, die Fake App auszuführen, die denselben Icon hat wie die tatsächliche App. Deswegen ist es auch schwierig, die Anwendung zu deinstallieren. Der tatsächliche Zweck der App aber ist der Diebstahl von Kreditkarteninformationen, die ein Fake Bildschirm von Google Play anfragt. Weitere Einzelheiten liefert der Originalbeitrag.

Gegenmassnahmen

Cyberkriminelle verteilen ihre Fake Apps häufig über App Stores von Drittanbietern. Nutzer greifen auf diese Stores zurück, um einerseits „unveröffentlichte“ Versionen legitimer Apps herunterzuladen oder um Apps kostenlos zu erhalten. Diese Apps sind in erster Linie illegitim und ziemlich riskant. Deswegen ist es dringend zu empfehlen, nur Apps aus legitimen Stores herunterzuladen und zu installieren.

Auch setzen Angreifer einen gefälschten App Store auf, der Google Play ähnelt, oder sie schicken eine Nachricht über soziale Medien, die angeblich von einem Freund kommt und zu einer bösartigen App führt. Dagegen hilft das Deaktivieren der Einstellung „Installation von Apps aus unbekannten Quellen erlauben“. Standardmässig ist dieses Setting deaktiviert.

Zudem kommt es nur selten vor, dass eine legitime App Administator-Berechtigungen anfordert. Ist dies der Fall, sollte der Nutzer nochmals prüfen, ob dies auch nötig ist – vor allem bei Spieleinstallationen.

Lösungen von Trend Micro

Neben den genannten Best Practices empfiehlt sich auch der Einsatz einer Sicherheitslösung wie Trend Micro™ Mobile Security, die Bedrohungen aus App Stores blockt, bevor die bösartige App auf dem Gerät des Nutzers installiert werden kann.

Unternehmen sollten auf eine Lösung wie Trend Micro™ Mobile Security for Enterprise setzten, die Gerätemanagement, Datenschutz, Anwendungs- und Compliance-Management, Konfigurations-Provisioning und andere Fähigkeiten mitbringt.