Die Sicherheitsexperten von Dr. Web haben neun Android-Apps identifiziert, die auf den ersten Blick nutzwertige Dienste angeboten hatten, letztlich aber doch nur am Diebstahl der Facebook-Zugangsdaten ihrer Verwender interessiert waren. Um das Vertrauen ihrer Nutzer zu erhöhen und ihre Wachsamkeitsschwelle herabzusetzen, hatten die Apps voll funktionsfähige Dienste für Fotobearbeitung, Fitness, Horoskope und das Entfernen von Junk-Dateien implementiert.

Alle identifizierten Apps boten Nutzern die Möglichkeit, In-App-Werbung zu deaktivieren, indem sie sich bei ihrem Facebook-Konto anmelden. Benutzern, die diese Option wählten, wurde ein echtes Facebook-Anmeldeformular mit Feldern zur Eingabe von Benutzernamen und Passwörtern gezeigt.

Besonders perfide an der Vorgehensweise war, dass die Anmeldeseite tatsächlich die originale Facebook-Seite im Webview darstellte. Um nun an die Nutzerdaten zu gelangen, luden die Angreifer ein eigenes Javascript in dieselbe Webview. Dieses Script hatte nur die Aufgabe, die eingegebenen Daten abzugreifen und an die Angreifer zu senden. Nach dem erfolgreichen Login bei Facebook stahl das Javascript auch die Cookies der aktuellen Autorisierungssitzung. Diese Cookies wurden ebenfalls an die Cyber-Kriminellen gesendet.

Die Analyse der Schadprogramme durch Dr. Web ergab, dass die Apps zwar auf das Stehlen von Logins und Passwörtern von Facebook-Konten begrenzt waren. Allerdings hätten die Angreifer die Einstellungen der Apps leicht ändern und sie anweisen können, die Website eines anderen Dienstes zu laden. Ebenso wäre es laut Dr. Web sogar möglich gewesen, ein komplett gefälschtes Anmeldeformular zu verwenden, das sich auf einer Phishing-Seite befindet. So hätten die Apps dazu verwendet werden können, Logins und Passwörter von beliebigen Diensten zu stehlen.

In den neun Android-Apps fanden die Dr. Web-Experten fünf verschiedene Malware-Varianten. Drei davon waren native Android-Apps, die anderen beiden nutzten das Flutter-Framework von Google. Trotz ihrer technischen Unterschiede hat Dr. Web sie alle als dasselbe Verfahren eingestuft.

Die erfolgreichste Trojaner-App hört auf den Namen PIP Photo. Sie allein wurde mehr als fünf Millionen Mal heruntergeladen. An Rang 2 folgte mit mehr als 500.000 Downloads eine weitere Fotobearbeitungsanwendung namens Processing Photo. Ebenfalls betroffen mit um 100.000 Downloads und darunter waren die Apps Rubbish Cleaner, Inwell Fitness, Horoscope Daily, App Lock Keep, Lockit Master, Horoskop Pi und App Lock Manager.

Google hat inzwischen nicht nur alle dieser Apps aus dem Playstore entfernt, sondern auch die Entwickler-Accounts ihrer Betreiber gelöscht. So können diese theoretisch keine neuen Apps einreichen. Andererseits sind die Hürden für das Anlegen neuer Accounts sehr niedrig. Daher könnten die Cyber-Kriminellen schlicht für eine einmalige Gebühr von 25 US-Dollar ein neues Entwicklerkonto unter einem anderen Namen anlegen.

Wem eine der genannten Apps bekannt vorkommt, sollte nun also schauen, ob es Anzeichen dafür gibt, dass der eigene Facebook-Account Unbefugten Zutritt gewährt haben könnte. Es schadet jedenfalls nicht, das Passwort des Accounts zu ändern. Ebenso ergibt es immer mehr Sinn, sich für einen Malwarescanner zu entscheiden und die entsprechende App auf dem eigenen Gerät zu installieren.