Schädliche Pokémon Go-App öffnet Backdoor in Android

Die Experten von Proofpoint warnen potentielle Pokémon-Trainer vor einer schädlichen Version des populären Spiels Pokémon Go. Sie wurde in einem Hacker-Repository gefunden und verbreitet sich anscheinend schnell in freier Wildbahn. Nach Angaben der Forscher fügten Cybergangster der APK-Datei des Spiels ein Fernwartungstool mit dem Namen Droidjack hinzu; es eröffnet Angreifern vollständigen Zugriff auf ein mobiles Gerät.

Das Augmented-Reality-Spiel Pokémon Go, das auf einem zwanzig Jahre alten Medien-Franchise basiert, erschien erst vor einer Woche auf dem amerikanischen Markt, hat aber bereits so viele User angelockt, dass die Server unter dem Anfragenansturm mehrfach zusammenbrachen. Noch erstaunlicher ist die Tatsache, dass bereits fünf Tage nach Veröffentlichung der App der Wert des Besitzers, Nintendo, um fast 11 Milliarden Dollar gestiegen ist.

Mit Verweis auf die Überlastung der Server hat das Unternehmen Niantic, Entwickler von Pokémon Go, die globale Bereitstellung gestoppt. Gegenwärtig ist das Spiel nur in Internet-Stores in den USA, Australien und Neuseeland verfügbar. Das bedeutet, unter den Bewohnern aller anderen Länder ist die Versuchung sehr groß, es aus inoffiziellen Quellen herunterzuladen. Android-Nutzer müssen sich trotzdem erstmal mit den Einstellungen herumschlagen und sie dahingehend ändern, dass der Download von APK-Dateien Dritter aus nicht vertrauenswürdigen Quellen möglich wird, denn das wird eigentlich universell als riskante Praxis eingestuft.

Eine Analyse hat gezeigt, dass die schädliche Pokémon Go-App zur Verbindung mit dem C&C-Server eine Domain anfragt, die sich auf einer dynamischen IP-Adresse in der Türkei befindet. Solche Adressen werden normalerweise von Bots verwendet, die in Spam-Versand und andere illegale Aktivität involviert sind. In diesem Fall ist der C&C-Server in der Domain No-IP.org untergebracht, die schon in andere schädliche Operationen verwickelt war.

Die Forscher wiesen zudem darauf hin, dass man aufgrund der Erlaubnisliste, die das Spiel anfragt, überprüfen kann, ob eine aus einer Drittquelle erhaltene Pokémon Go-App schädlich ist oder nicht. Eine schädliche APK-Datei würde sich in dem Fall beispielsweise dafür interessieren, die WiFi-Verbindungen einzusehen, sich mit dem Wi-Fi zu verbinden bzw. die Verbindung zu trennen, den Status der Netzwerkverbindung zu ändern und Daten aus laufenden Anwendungen zu erhalten. Nur aufgrund des Startbildschirms lässt sich dergleichen nicht feststellen: Er ist mit dem Original-Startbildschirm identisch.

„Obwohl diese APK bisher noch nicht in freier Wildbahn aufgetreten ist, bekräftigt sie ein wichtiges PoC-Konzept, und zwar: Cyberkriminelle können sich die Popularität von Apps wie Pokémon Go zunutze machen und die Nutzer dazu bringen, selbstständig Schädlinge auf dem Gerät zu installieren“, heißt es bei Proofpoint.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.