28. Januar 2022, 14:23 Uhr | Lesezeit: 3 Minuten

Nachdem Betrüger Millionen von Euro noch Android-Nutzern gestohlen haben, folgt jetzt die nächste Google-Panne. Der zweijährigen „Dark Herring“-Kampagne sind mehr als 100 Millionen Nutzer zum Opfer geworden.

Malware-Apps rechnen Geld über die Telefonrechnung ab

Erst kürzlich hat Sicherheitsunternehmen „Zimperium“ die Trojaner-Kampagne „GriftHorse“ aufgedeckt, über die auch TECHBOOK berichtete. Auf der Suche nach weiteren Betrugsmaschen dieser Art haben die Forscher weitere, Malware-verseuchte Apps gefunden. Die Kampagne, die den Namen „Dark Herring“ bekommen hat, läuft seit bald zwei Jahren und hat mehr als 100 Millionen Android-Nutzer getroffen. Wie schon „GriftHorse“ zuvor ist „Dark Herring“ ein Wortspiel – dieses mal jedoch aus dem Ausdruck „red herring“. Das bedeutet wörtlich übersetzt „roter Hering“, steht im übertragenen Sinne aber für ein Täuschungsmanöver.

Die „Dark Herring“-Kampagne nutzt die gleiche Strategie, die auch schon in Apps mit „GriftHorse“-Malware funktioniert hat. Sie macht Gebrauch von der „Direct Carrier Billing“-Technologie (DCB) – eine Zahlungsart, die Nutzern das Bezahlen per Telefonrechnung erlaubt. DCB ist vor allem in Ländern verbreitet, in denen die Nutzung von Kreditkarten nicht gängig ist.

Nach dem Installieren einer dieser App bekommen Nutzer mehrere Benachrichtigungen pro Stunde. Demnach sollen sie ihre Telefonnummer bestätigen, um einen Preis zu gewinnen. Stattdessen registrieren die Hacker jedoch die Nummer für einen SMS-Dienst, für den monatlich 30-40 Euro über die Telefonrechnung abgebucht werden. Die „Dark Herring“-Apps enthalten versteckten Code, der automatisch Bezahl-Abos für „Premium-Dienste“ mit Kosten in Höhe von 15 US-Dollar abschließt. Dass ihre Telefonrechnung mit diesem Betrag belastet wurde, finden Nutzer oft erst mehrere Monate später heraus.

Lesen Sie auch: Bekommen Sie in letzter Zeit komische Paketlieferungs-SMS?

Mehr zum Thema

Sofort löschen! Dutzende beliebte Android-Apps sind virenverseucht

Vorsicht! Diese Fake-Apps schleusen Trojaner aufs Smartphone

Vorsicht! Malware-infizierte Apps schleusen sich unentdeckt auf Android-Smartphones ein

„Dark Herring“-Kampagne in mehr als 70 Ländern

Obwohl „Dark Herring“ ähnliche Mittel wie die „GriftHorse“-Attacken verwendet, hat „Zimperium“ herausgefunden, dass es sich um unterschiedliche Kampagnen handelt. „Dark Herring“-Apps hätten demnach eine andere Code-Basis und seien noch erfolgreicher darin, sich bei Nutzern breitzumachen. Die Sicherheitsforscher betonen, dass die Apps nicht einfach billige Kopien voneinander seien. Vielmehr hätten die Cyberkriminellen viel Geld investiert, um funktionierende Apps über eine große Bandbreite von Kategorien zu veröffentlichen. Allein die schiere Größe der Kampagne mit fast 470 Apps macht es Googles Sicherheitsvorkehrungen im Play Store schwer, versteckten bösartigen Code in jeder einzelnen zu erkennen.

Die „Dark Herring“-Kampagne hat laut „Zimperium“ Nutzer in mehr als 70 Ländern erreicht. Die Apps sind auf mehr als 105 Millionen Smartphones installiert. Einige davon wurden bis zu fünf Millionen mal heruntergeladen. Sie können anhand der IP-Adresse der Nutzer das jeweilige Land erkennen und stellen Inhalte in der passenden Sprache dar. Im Zusammenspiel mit der Tatsache, dass die Apps auch tatsächlich funktionieren, können Nutzer kaum bemerken, dass es sich um Malware handelt.

Google hat mittlerweile sämtliche betroffene Apps aus dem Play Store gelöscht. Damit bleiben sie aber dennoch auf dem Smartphone installiert und können weiterhin Schaden anrichten. Auch in App Store von Drittanbietern und in Online-Datenbanken sind sie noch zu finden. TECHBOOK rät deshalb, die Apps sofort vom Smartphone zu löschen und nicht aus anderen Quellen zu installieren. Die komplette Liste der Malware-infizierten Apps finden Sie auf der GitHub-Seite zu „Dark Herring“.

Quellen

• Zimperium
• GitHub-Seite zu „Dark Herring“