Blog | Pradeo

Fake Netflix und weitere beliebte Apps mit Malware infiziert

Geschrieben von Roxane Suau | 08.09.2021 14:37:52

Pradeo hat mehrere Kopien offizieller Anwendungen identifiziert, die unter dem Anschein der kostenlosen Nutzung von Netflix, Spotify, ExpressVPN, Avira Antivirus, The Guardian usw. mobile Geräte mit Malware, Spyware und Adware infizieren, ohne dass die Nutzer es merken.

Die Code-Schwachstellen und das Fehlen bewährter Sicherheitsverfahren machen es Hackern leicht, Code zu kopieren und in Anwendungen einzuschleusen. Mobile Anwendungen, die mit Malware infiziert sind, werden oft durch Werbung in Anwendungen, die aus offiziellen App-Stores heruntergeladen wurden, oder durch Phishing-Kampagnen beworben. Indem sie sich als vertrauenswürdige Anwendungen ausgeben, führen gefälschte Apps die Benutzer in die Irre, um ihre persönlichen Daten zu stehlen und Betrug zu begehen.

 

Das lukrative Geschäft mit modifizierten Anwendungen

Weltweit gibt es derzeit mehr als 700 Websites, die als App-Stores fungieren und Kopien der offiziellen Anwendungen anbieten. Die Nachfrage nach alternativen App-Shops ist so groß, dass im Jahr 2020 drei von ihnen in Bezug auf die jährlich neu eingestellten Anwendungen produktiver waren als die offiziellen Shops Google Play und der App Store (Quelle: RiskIQ).

Bei modifizierten Anwendungen, auch MOD genannt, handelt es sich um Kopien von Originalanwendungen, die von Drittanbietern oder inoffiziellen Entwicklern verändert wurden, um Funktionen hinzuzufügen oder Premium-Abonnements freizuschalten.

Während der Manipulation werden die meisten MODs mit bösartigem Code versehen, um Nutzer auszuspionieren, indem sie auf ihre Galerie, Kontakte, digitalen Geldbörsen usw. zugreifen, ihre Daten exfiltrieren und unangemessene Werbung anzeigen. Die gestohlenen Daten werden dann im Dark Web verkauft.

 

Vorsicht vor gefälschten Netflix-Anwendungen

Netflix ist ein florierendes Geschäft, in dem Cyberkriminelle eine Gelegenheit zum Geldverdienen sehen. Unser Team hat online Dutzende von modifizierten Versionen der ursprünglichen Netflix-Anwendung identifiziert.

Die gefälschten Netflix-Apps haben nicht nur den Namen und/oder das Logo des Unternehmens übernommen, wie dies bei der FlixOnline-App der Fall war (die im April 2021 bei Google Play entdeckt und anschließend entfernt wurde), sondern sehen auch fast genauso aus wie ältere Versionen der Original-Netflix-App.

Bei der Sicherheitsanalyse dieser gefälschten Apps mit der Pradeo Security Engine zeigt sich, dass sie mit Malware, Spyware und/oder Adware infiziert worden sind. Außerdem erfordern die vorgestellten Schadprogramme (Remote-Access-Tool, Smishing-Trojaner, Rootkit...) kein Rooten des Geräts, um in das System einzudringen, und maximieren so ihre Reichweite.

Überblick über eine der gefälschten Netflix-Anwendungen:

 

Vergleicht man den Code der offiziellen App mit dem der modifizierten, wird deutlich, dass trotz der Ähnlichkeit der meisten Ordner und Dateien einige neue Inhalte hinzugefügt wurden. Bei näherer Betrachtung fanden wir neue Werbebibliotheken, JavaScript-Code zum Erreichen externer Server und Befehle zum automatischen Herunterladen neuer APKs auf das Gerät.

 

Eine bekannte Schwachstelle, die zum Einschleusen von bösartigem Code ausgenutzt wird

In der Datenbank von Pradeo, die aus Millionen von öffentlichen iOS- und Android-Anwendungen besteht, sind 57 % der Apps anfällig für Code-Manipulationen, was in der OWASP-Top-10-Liste für Mobilgeräte auf Platz 8 steht.

In der Regel nutzen Cyberkriminelle diese Schwachstelle aus, wenn sie in offiziellen Anwendungen gefunden wird, um sie zu manipulieren, kostenlose Dienste zu aktivieren und sie als Spionage- und Hacking-Tools zu verwenden. Sie nutzen die Popularität dieser Apps aus, um Nutzer dazu zu bringen, sie aus inoffiziellen App-Stores zu installieren oder sie mit Phishing-Angriffen auszutricksen.

Beispiel für zwei Phishing-Kampagnen, die eine gefälschte Netflix-Anwendung bewerben:

 

Unsere Empfehlungen

Wie kann ich als Entwickler meine Anwendung vor Manipulationen schützen?

  • Verschleiern und verschlüsseln Sie Ihren Code, um Hacker zu entmutigen.
  • Erweitern Sie Ihre Anwendung mit einer Funktion zur Erkennung von Manipulationen, die zur Laufzeit angemessen auf eine Verletzung der Code-Integrität reagiert.

Wie kann man als Nutzer gefälschte Anwendungen vermeiden?

  • Hüten Sie sich vor Smishing-Kampagnen (SMS-Phishing)
  • Trauen Sie Angeboten nicht, die zu gut erscheinen, um wahr zu sein
  • Laden Sie keine Anwendungen herunter, die in der Werbung angezeigt werden, sondern suchen Sie stattdessen in offiziellen Stores nach ihnen
  • Laden Sie nur Anwendungen von Google Play und dem App Store herunter.