Malware Ztorg erneut bei Google Play

Ein Kaspersky-Forscher hat zwei weitere Apps im Google Play-Store gefunden, die offensichtlich die Ztort-Malware zu installieren versuchen.

Um sich besser zu verschleiern wurde in diesem Fall kein direkter Angriff (rooten) auf das Gerät vorgenommen, um somit die volle Kontrolle übernehmen zu können – in diesem Fall hat die Software versteckt SMS-Funktionen verwendet.

50.000 und 10.000 Installationen

Die betreffenden Apps – Magic Browse und Noise Detector – wurden bereits von Google entfernt. Die Download-Zahlen von 50.000 bzw. 10.000 lassen aber darauf schließen, dass beide Programme eine gute Verbreitung hatten.

Nach der Installation und der Aktivierung von Ztort kontaktiert die Software einen Kommando-Server um anschließend entweder kostenpflichtige SMS-Abodienste zu bestellen oder aber andere Programme aus dem Play Store herunter zu laden. Da alle Aktionen versteckt ablaufen wird ein Anwender den Befall meist erst auf der nächsten Mobilfunk-Rechnung erkennen können.

SMS-Funktionen nachträglich eingebaut

Nach der Analyse enthielt Noise Detector in der ersten Version im Play Store keine SMS-Funktionalität – diese wurde erst nach und nach mit Programmupdates eingebaut. Magic Browser hingegen hatte von Beginn an Zugriff auf das SMS-System.

Wie kann ich mich schützen?

Ein vollständiger Schutz ist aktuell bei Android nicht wirklich möglich. Installieren Sie nur Apps, denen Sie vollständig vertrauen und hinter denen eine seriöse Firma steht. Prüfen Sie die angefragten App-Berechtigungen – ein Online-Spiel benötigt keinen Zugriff auf eine SMS-Funktion; ein animierter Hintergrund sollte nicht das Telefonbuch lesen oder die Kamera auslösen dürfen.