Bitte vor dem Download lesen: Achtung vor bösartigen Android-Apps

Vielleicht haben Sie schon davon gehört, dass mehr als 300.000 Android-Nutzer unwissentlich Trojaner-Banking-Apps aus dem Google Play Store heruntergeladen haben – bösartige Apps, die die Sicherheitsvorkehrungen des Stores umgangen und Malware installiert haben.

Dies wurde durch einen Sicherheitsbericht  bekannt, der herausfand, dass diese Trojaner sich geschickt als Apps ausgaben, nach denen häufig gesucht wird, wie z. B. QR-Code-Scanner, Fitness-Apps und eine Vielzahl anderer beliebter Arten von Dienstprogrammen. Werden sie installiert, können sie Bankdaten stehlen, die angetippten Tasten bei Eingabe von Anmeldedaten aufzeichnen und sogar Screenshots von Ihren Aktivitäten auf dem Telefon erstellen.

Der Trick bei dieser Malware besteht darin, dass sie erst nach der Installation aktiviert wird, was der Benutzer möglicherweise nicht bemerkt. Damit die Malware aktiviert werden kann, ist ein zusätzlicher Schritt erforderlich, z. B. ein Update in der App (nicht über den Play Store), bei der die Nutzlast der Malware auf das Telefon heruntergeladen wird. In vielen Fällen fordern die gefälschten Apps die Benutzer dazu, diese Aktualisierung vorzunehmen, sobald die App heruntergeladen wurde.

Die Apps, die im Play Store auftauchten, enthielten also noch keine Schadsoftware, was ein Grund dafür ist, dass sie nicht sofort erkannt wurden. Aber sie übertrugen nach dem Kauf Malware von anderen Servern auf das betroffene Telefon.

All dies ist nur ein weiterer Weg, den Hacker gefunden haben, um Smartphones mit Malware zu infizieren.

Es ist kein Wunder, dass sie es auf Smartphones abgesehen haben. Diese enthalten viele persönliche Daten und Fotos sowie Zugangsdaten für Bank- und Bezahl-Apps – alles sehr begehrte Beute oder wertvoll genug, um dafür Lösegeld zu verlangen. Hinzu kommen weitere leistungsstarke Funktionen wie Kameras, Mikrofone und GPS, durch die ein Hacker u. a. zu Folgendem in der Lage ist:

• Ausspionieren Ihres aktuellen Standorts und Ihrer täglichen Wege
• Stehlen Ihrer Kennwörter für soziale Medien, Shopping- und Banking-Websites
• Belasten Ihres Kontos durch App-Store-Käufe oder Missbrauch Ihrer Zahlungs-Apps
• Lesen Ihrer Textnachrichten oder Stehlen Ihrer Fotos

Zu all dem möchte man nur eines sagen: ein großes, lautstarkes “Nein danke!”

Wie funktionieren solche bösartigen Apps genau? Indem sie sich als legitime Anwendungen ausgeben, können sie auf Ihrem Telefon landen und weitreichende Berechtigungen für den Zugriff auf Dateien, Fotos und Funktionen erhalten – oder Code einschleusen, der es Cyberkriminellen ermöglicht, persönliche Daten zu sammeln. Das kann zu allerlei unerwünschten Dingen führen: von einer Flut von Popup-Werbung bis hin zu kostspieligem Identitätsdiebstahl.

Hier sind einige aktuelle Beispiele für bösartige Apps, über die vor Kurzem berichtet wurde:

• Gefälschte Ad-Blocking-Programme, die ironischerweise stattdessen Werbung einblenden.
• Gefälschte VPN-Apps, die Abonnementkosten berechnen und im Gegenzug keinen Schutz bieten.
• Dienstprogramme, die Systemrechte und -berechtigungen missbrauchen, wodurch Benutzer weiteren Angriffen ausgesetzt sind.

Auch dazu sagen wir “Nein danke!” Lassen Sie uns also sehen, wie wir bösartige Apps wie die beschriebenen vermeiden können.

Sieben Schritte zu sichereren Downloads von mobilen Apps  

Die gute Nachricht ist, dass es Möglichkeiten gibt, diese betrügerischen Anwendungen zu erkennen. Große App-Marktplätze wie Google Play und Apple App Store sind bemüht, ihre virtuellen Regale frei von Malware zu halten, wie sie selbst berichten (Google und Apple). Dennoch finden Cyberkriminelle Wege, die Sicherheitsmaßnahmen zu umgehen. (Was sonst!) Ein wenig zusätzliche Vorsicht Ihrerseits ist deshalb angebracht. Diese Schritte können dabei helfen:

1) Behalten Sie die App-Berechtigungen im Auge  

Eine weitere Möglichkeit für Cyberkriminelle, sich Zugang zu Ihrem Gerät zu verschaffen, besteht darin, die Zugriffsberechtigungen für Standort, Kontakte und Fotos anzufordern – und zwar mithilfe zweifelhafter Apps. (Man denke an die seit langem verbreiteten betrügerischen Taschenlampen-Apps, die bis zu 70 verschiedene Berechtigungen anforderten, z. B. für Audio- und Videoaufnahmen und den Zugriff auf Kontakte) Achten Sie also genau darauf, welche Berechtigungen eine App fordert, wenn Sie sie installieren. Wenn sie viel mehr verlangt, als Sie erwartet haben (wenn z. B. ein einfaches Spiel Zugriff auf die Kamera oder das Mikrofon anfordert), handelt es sich möglicherweise um einen Betrug. Löschen Sie die App und suchen Sie sich eine andere, die keine derartig zudringliche Berechtigungen verlangt.

Sie können vor dem Herunterladen einer App prüfen, welche Berechtigungen diese möglicherweise anfordert. Scrollen Sie in Google Play in der App-Liste nach unten und suchen Sie “Zusätzliche Informationen”. Wenn Sie dort auf “Berechtigungen” tippen, wird eine informative Liste angezeigt. Im iOS App Store scrollen Sie nach unten zu “App-Datenschutz” und tippen auf “Details anzeigen”, um eine ähnliche Liste wie in Google Play zu erhalten. Wenn Sie sich für die Berechtigungen von Apps interessieren, die bereits auf Ihrem Telefon installiert sind: Lesen Sie als iPhone-Benutzer hier und als Android-Benutzer hier, wie Sie App-Berechtigungen zulassen bzw. entziehen können.

2) Seien Sie vorsichtig bei Apps, die Sie zu einem In-App-Update auffordern 

Während einige Apps (z. B. Spiele) auf herunterladbare Inhalte innerhalb der App angewiesen sind, sollten Sie misstrauisch werden, wenn Sie nach der Installation gleich zu einem Update aufgefordert werden. In den meisten Fällen sollte die App, die Sie aus dem Store herunterladen, die neueste Version sein und keine Aktualisierung erfordern. Aktualisieren Sie Ihr Telefon zudem stets über den App-Store und nicht über die App selbst, um Malware-basierte Angriffe zu vermeiden.

3) Lesen Sie App-Rezensionen mit einem kritischen Blick 

Wie bei so vielen Angriffen verlassen sich die Cyberkriminellen darauf, dass die Leute auf Links klicken oder auf “Download” tippen, ohne vorher nachzudenken. Nehmen Sie sich vor dem Herunterladen Zeit für eine kurze Recherche, bei der Sie möglicherweise auf Hinweise darauf stoßen, dass die App bösartig ist. Überprüfen Sie den Entwickler – hat er mehrere andere Apps mit vielen Downloads und guten Bewertungen veröffentlicht? Eine seriöse App hat in der Regel viele unterschiedliche Bewertungen, während bösartige Apps vielleicht nur eine Handvoll (gefälschten) Fünf-Sterne-Bewertungen haben. Achten Sie nicht zuletzt auch auf Tippfehler und schlechte Grammatik in der App-Beschreibung und in den Screenshots. Sie könnten ein Zeichen dafür sein, dass ein Hacker die App rasch zusammengeschustert und veröffentlicht hat.

4) Setzen Sie auf eine starke Empfehlung  

Noch besser als Nutzerbewertungen ist eine Empfehlung von einer vertrauenswürdigen Quelle, z. B. einer bekannten Zeitschrift oder von App-Store-Redakteuren. In diesem Fall wurde ein Großteil der Überprüfungsarbeit von einem erfahrenen Rezensenten bereits für Sie erledigt. Eine schnelle Online-Suche wie “beste Fitness-Apps” oder “beste Apps für Reisende” sollte Ihnen Artikel von seriösen Websites anzeigen, die gute Tipps und detaillierte Beschreibungen haben.

5) Vermeiden Sie App-Stores von Drittanbietern 

Im Gegensatz zu Google Play und dem Apple App Store, die Apps standardmäßig überprüfen, um deren Sicherheit zu gewährleisten, verfügen Websites von Drittanbietern möglicherweise nicht über solche Maßnahmen. Einige Websites von Drittanbietern können sogar absichtlich bösartige Apps als Teil eines umfassenderen Betrugs hosten. Zwar haben Cyberkriminelle Wege gefunden, die Prüfverfahren von Google und Apple zu umgehen, aber die Wahrscheinlichkeit, auf ihren Plattformen eine sichere App zu finden, ist weitaus größer als anderswo. Darüber hinaus entfernen sowohl Google als auch Apple bösartige Apps schnell, sobald sie entdeckt werden, was die Sicherheit in ihren Stores deutlich erhöht.

6) Schützen Sie Ihr Smartphone mit Sicherheitssoftware  

Angesichts der vielen Dinge, die wir auf unserem Handy tun, ist es wichtig, dass wir genau wie auf unseren Computern und Laptops Sicherheitssoftware darauf installieren. Ob Sie sich für eine umfassende Sicherheitssoftware entscheiden, die alle Ihre Geräte schützt, oder eine App bei Google Play oder im iOS App Store auswählen – Sie profitieren von Malware-, Web- und Geräteschutz, der Ihnen hilft, sicher zu bleiben.

7) Aktualisieren Sie das Betriebssystem Ihres Telefons  

Neben der Installation von Sicherheitssoftware ist es auch wichtig, dass das Betriebssystem Ihres Telefons auf dem neuesten Stand bleibt. Mit Updates können Schwachstellen behoben werden, die Cyberkriminellen gern ausnutzen, um Malware-Angriffe durchzuführen. Somit sind Aktualisierungen eine weitere bewährte Methode, um sich selbst zu schützen und für eine optimale Geräteleistung zu sorgen.

Geben Sie mobiler Malware keine Chance  

Hier sind ein paar zusätzliche Tipps, wie Sie sich selbst besser schützen können:

• Achten Sie auf ungewöhnliches Verhalten Ihres Telefons. .
• Behalten Sie Ihre Konten im Auge. Jede Art von Betrug oder Identitätsdiebstahl wird wahrscheinlich Spuren auf Ihren Kontoauszügen oder in Zahlungs- und Banking-Apps hinterlassen. Wenn Sie dort etwas Verdächtiges entdecken, gehen Sie dem nach und melden Sie es.
• Dies sollte Teil Ihrer allgemeinen Sicherheitsmaßnahmen sein. Auf diese Weise können Transaktionen im Zusammenhang mit Identitätsdiebstahl aufgedeckt werden, den Sie vielleicht noch nicht bemerkt haben, z. B. wenn jemand eine Wohnung in Ihrem Namen gemietet hat.

Zu guter Letzt können Sie sich immer fragen: “Brauche ich diese App wirklich?” Wenn Sie insgesamt weniger Anwendungen herunterladen, senken Sie das Risiko, eine bösartige zu erwischen. Wenn Sie unsicher sind, ob das kostenlose Spiel seriös ist, oder wenn das Angebot für die Produktivitäts-App irgendwie zu gut klingt, lassen Sie besser die Finger davon. Suchen Sie nach einer besseren Option oder verzichten Sie ganz darauf. Wie bereits erwähnt, verlassen sich die Cyberkriminellen darauf, dass wir gedankenlos auf etwas klicken und es herunterladen. Der Schutz vor mobiler Malware kostet Sie nur wenige Augenblicke – also quasi nichts im Vergleich zu den möglichen Kosten, die durch ein gehacktes Telefon entstehen können.