Wer eine WhatsApp-Nachricht von einem Freund bekommt, in der dieser eine App lobt, die kostenlosen Zugang zu Netflix ermöglichen soll, wird nicht unbedingt sofort Verdacht schöpfen. Wer allerdings auf den mitgeschickten Link klickt und die App installiert, erhält statt Gratis-Streaming-Zugang eine heimtückische Schadsoftware .
Das berichten die Sicherheitsforscher von Check Point Research (CPR), die hinter der vermeintlich harmlosen Fassade der Android-App «FlixOnline» einen digitalen Schädling entdeckten.
Dabei ist bei der Installation der App offenbar nicht gleich ersichtlich, wozu die App tatsächlich genutzt werden soll. Laut CPR fordert sie bei der Installation zunächst nur nach harmlos klingenden Rechten: Sie will sich über anderen Apps anzeigen dürfen, die Batterie-Optimierungen ignorieren und Zugriff auf Benachrichtigungen erlangen.
Klingt harmlos? Von wegen! Sind diese Berechtigungen erteilt, kann die App sich unbemerkt über beliebige Log-In-Screens legen und so etwa Zugangskennwörter ausspähen. Automatisch beendet wird die App nicht, auch wenn sie nur tatenlos im Hintergrund läuft. Um sich weiter zu verbreiten, nutzt die App WhatsApp.
Erhält der Nutzer eine WhatsApp-Nachricht und wird per Benachrichtigung darüber informiert, antwortet «FlixOnline» blitzschnell automatisch mit einer Lockbotschaft darauf, die das Opfer ebenfalls zur Installation der Schadsoftware bewegen soll.
Da CPR Google über den Schädling informiert hat, wurde dieser bereits aus dem Google Play Store entfernt. In den zwei Monaten, die die Software dort verfügbar war, wurde sie gerade einmal 500 Mal heruntergeladen.
Allerdings sei das kein Grund, sich in Sicherheit zu wiegen. Wie die Sicherheitsforscher von CPR betonen, dürfte das neue Prinzip, WhatsApp-Benachrichtigungen zu kapern und automatisch für die Verbreitung von Schädlingen zu nutzen, noch häufiger bei anderen Schädlingen zum Einsatz kommen.
«Die Tatsache, dass die Schadsoftware so einfach getarnt werden und letztlich den Schutz des Google Play Stores überwinden konnte, ist ein Alarmsignal», sagte Aviran Hazum von Check Point gegenüber dem IT-Blog BleepingComputer.
Wer eine WhatsApp-Nachricht mit Link erhält, sollte sicherheitshalber noch einmal beim Absender nachfragen, ob dieser den Link auch tatsächlich selbst verschickt hat und er sicher angeklickt werden kann.
(jnm/t-online)