Der Hype rund um die audio-basierte Chat-App Clubhouse, die nur für iPhones und iPads verfügbar ist, ist immens. Mit einer vermeintlichen Anwendung für Android versuchen Kriminelle derzeit Anwender in die Schadcode-Falle zu locken. Hinter der Fälschung verbirgt sich der Trojaner "Blackrock", wie die IT-Security-Experten von Eset wissen lassen. Gelangt das Schadprogramm auf das Gerät, halte es Ausschau nach 458 Online-Diensten und versuche dann, die Anmeldedaten zu stehlen, so die Spezialisten.
Die Zielliste umfasst Eset zufolge bekannte Finanz- und Shopping-Apps, Kryptobörsen sowie Social Media- und Messaging-Plattformen. Dazu zählen bekannte Namen wie Twitter, Whatsapp, Facebook, Amazon, Netflix, Outlook, Ebay, Coinbase, Plus500, Cash App und BBVA. Im aktuellen Fall helfe auch eine SMS-basierte Zwei-Faktor-Authentifizierung (2FA) nicht, da die Malware Textnachrichten abfangen könne.
"Die Website, die die vermeintliche Clubhouse App für Android bewirbt, sieht täuschend echt aus. Sobald der Nutzer aber auf den Button klickt, der ihn zum Google Play Store bringen soll, wird die App automatisch heruntergeladen und installiert. Legitime Apps würden den Anwender immer erst zu Google Play weiterleiten", erklärt dazu Lukas Stefanko, Malware Researcher bei Eset. "Auch bei der Installation müssten bei Anwendern die Alarmglocken schrillen. Die App heisst nämlich nicht 'Clubhouse', sondern 'Install'. Der Urheber der Malware war scheinbar zu faul, die Anwendung richtig zu tarnen. Es könnte aber auch bedeuten, dass wir in Zukunft noch raffiniertere Kopien sehen werden."
Über Clubhouse:
Clubhouse ist eine der beliebtesten Apps in den letzten Monaten und lediglich für iPhones und iPads verfügbar. Um jedoch die App nutzen zu können, müssen Interessierte von einem bereits aktiven Nutzer der App eingeladen werden. Clubhouse ist eine Audio-only-App, bei der Gespräche wie bei einem Live-Podcast stattfinden und sich Nutzer aktiv an Diskussionen beteiligen können. Eine Android-Version ist derzeit in Planung, aber noch nicht verfügbar.
Nachfolgend noch fünf Tipps von Eset gegen Fake-Apps:
- Android-Gerät immer auf dem aktuellsten Stand halten eine zuverlässige mobile Sicherheitslösung nutzen
- Inoffizielle App-Stores vermeiden. Wenn möglich, die "Installation aus unbekannten Quellen" dauerhaft deaktivieren
- Bevor man eine App aus dem Google Play Store installiert, sollte man einen Blick auf Bewertungen, Nutzerkommentare, Anzahl von Installationen und benötigte Zugriffsrechte werfen. Das Verhalten der App auch nach Installation im Auge behalten
- Ausschliesslich Banking- und Zahlungs-Apps installieren, die von der Bank oder dem Finanzdienstleister bereitgestellt werden. Die Verlinkungen auf deren offizieller Webseite nutzen, um zum App-Store zu gelangen
- Als zusätzliche Sicherheitsinstanz sollte immer eine aktuelle mobile Security-Software verwendet werden, die alle Apps auf schadhafte Inhalte überprüft
Der Online-Stellenmarkt für ICT Professionals