Sicherheitsforscher des Unternehmens Zscaler haben in der offiziellen Android-App-Plattform Google Play Store insgesamt 77 schadhafte Anwendungen entdeckt, die zusammen für rund 19 Millionen Malware-Downloads verantwortlich sind. Die betroffenen Apps gaben sich als nützliche Tools aus – darunter Personalisierungs-Apps, Dokumentbetrachter oder vermeintliche Utility-Programme – und täuschten so Millionen Nutzer weltweit.
Banking-Trojaner Anatsa im Einsatz
Die infizierten Apps enthielten den Banking-Trojaner Anatsa, auch bekannt als TeaBot, der seit 2020 im Umlauf ist. Anatsa gehört zur besonders gefährlichen Klasse von Malware, die gezielt auf Bank- und Finanzdaten ausgerichtet ist.
Die Funktionen umfassen unter anderem:
- Diebstahl von Zugangsdaten für Online-Banking und Krypto-Plattformen.
- Keylogging, also das Mitlesen sämtlicher Tastatureingaben.
- Abfangen von SMS und Zwei-Faktor-Codes, um Sicherheitsbarrieren zu umgehen.
- Automatisierte, betrügerische Transaktionen im Namen der Opfer.
Nach Angaben von Zscaler richtet sich die neueste Version der Malware gegen 831 Finanz- und Kryptodienstleister weltweit – deutlich mehr als die etwa 650 Institute, die in früheren Angriffskampagnen im Fokus standen.
Dropper-Technik zur Umgehung von Google-Schutzmechanismen
Besonders perfide: Die Apps erschienen auf den ersten Blick unauffällig und durchliefen die Prüfmechanismen des Play Stores. Der Trick der Angreifer:
- Die App wird zunächst als legitimes Hilfsprogramm hochgeladen.
- Nach der Installation auf einem Gerät lädt sie im Hintergrund eine angebliche „App-Aktualisierung“ nach.
- Diese Update-Datei enthält den eigentlichen Schadcode, der von externen Servern der Angreifer nachgeladen wird.
Durch Verschleierungstechniken, Verschlüsselung und Fake-Dateistrukturen gelang es den Angreifern, Googles Sicherheitskontrollen zu umgehen.
Weltweite Angriffswelle
Die Angriffe waren laut Zscaler nicht auf einzelne Regionen beschränkt. Betroffen waren Nutzer in:
- Europa,
- dem Vereinigten Königreich,
- und den USA.
Ziel war es, eine möglichst breite Basis an Opfern aufzubauen – und dabei vor allem Bankkunden und Krypto-Nutzer ins Visier zu nehmen.
Reaktion von Google
Google bestätigte gegenüber dem IT-Magazin The Register, dass Nutzer bereits vor Veröffentlichung der Zscaler-Ergebnisse durch interne Schutzmechanismen vor Anatsa-Angriffen bewahrt worden seien. Die betroffenen Apps seien entfernt worden.
Allerdings bleibt unklar, wie viele Nutzer ihre Geräte bereits vor dem Eingreifen kompromittiert hatten. Denn mit 19 Millionen Downloads gehört diese Kampagne zu den größten bekannten Malware-Wellen der letzten Jahre im offiziellen Android-App-Store.
Einordnung: Dauerproblem Play Store
Der Vorfall zeigt erneut die Verwundbarkeit des Google Play Stores. Trotz starker Sicherheitsmechanismen gelingt es Angreifern immer wieder, Dropper-Apps einzuschleusen, die erst nachträglich Schadcode nachladen.
Für Nutzer bedeutet das:
- Nur Apps aus vertrauenswürdigen Quellen installieren.
- Berechtigungen genau prüfen, insbesondere bei Apps, die ungewöhnlich viele Zugriffsrechte anfordern.
- Sicherheitsupdates und Play-Protect stets aktuell halten.
- Bei Banking- und Finanz-Apps besonders vorsichtig sein.
Neue Eskalationsstufe für Banking-Malware
Die Zahl der attackierten Finanzdienstleister – nun mehr als 830 weltweit – zeigt, dass Anatsa immer gezielter und aggressiver eingesetzt wird. In Kombination mit der großen Reichweite über den offiziellen App-Store verdeutlicht dies die Dimension des Problems: Selbst wer ausschließlich den Play Store nutzt, ist nicht automatisch sicher.
Millionen Android-Nutzer potenziell betroffen, wachsendes Risiko für Finanzdaten
Mit 19 Millionen Downloads markiert die aktuelle Anatsa-Kampagne einen neuen Höhepunkt in der Bedrohungslage für Android-Nutzer. Zwar hat Google reagiert, doch die Tatsache, dass solche Apps überhaupt zugelassen wurden, wirft erneut Fragen nach der Wirksamkeit der Play-Store-Kontrollen auf.
Für Banken, Krypto-Plattformen und ihre Kunden bedeutet das ein steigendes Risiko, Ziel von massiven digitalen Diebstählen zu werden.
