+43 699 / 18199463
office@itexperst.at

Fake WhatsApp Version im Google Play Store

Obwohl Google neu aufgenommene Android Apps in seinem Google Play Store immer erst auf Malware und andere Auffälligkeiten scannt, schlüpfen ihnen immer wieder doch ein paar gefälschte Apps durch die Netze. Kürzlich passiert das mit einer falschen Version des WhatsApp Messengers, die sich Update WhatsApp nannte und ansonsten exakt gleich aussah bis hin zu den Nutzerhinweisen. Über eine Million Mal ist diese falsche Version heruntergeladen worden, bevor Google sie aus seinem Play Store entfernt hat. Nutzer vertrauten dem bekannten Symbol und wurden zum Glück „nur“ mit nerviger Werbung belästigt. Das hätte aber auch anders ausgehen können.

Die Entwickler der falschen App konnten die Androidnutzer mit einer gefälschten Entwickler-ID täuschen, die sich nur ein bisschen unterschied von der echten WhatsApp-Entwickler ID. Zur ID fügten sie am Ende eine unsichtbare Unicode-Codierung für Steuerzeichen, die auch als “No-break Space” bekannt sind, hinzu.

So sieht die echte URL der WhatsApp Entwickler-ID aus:

https://play.google.com/store/apps/developer?id=WhatsApp+Inc

Und so die falsche:

https://play.google.com/store/apps/developer?id=WhatsApp+Inc.%C2%A0

Einmal heruntergeladen versteckte die falsche App sich auf den Smartphones. Ein leeres Symbol wurde erstellt, das nach der Installation nicht angezeigt wurde. Dass die gefälschte App irgendwelchen Schaden angerichtet hat, ist glücklicherweise nicht bekannt. Anwender hatten sich zuhauf darüber beschwert, dass sie auf einmal mit Werbung zugeschüttet worden waren. Offenbar hatte der Entwickler die Absicht, damit nur Geld zu verdienen. Allerdings, so ein Forscher, hätte diese Technik jedoch auch zur Verbreitung von schädlicherer Malware verwendet werden können.

Die falsche App wurde von Reddit-Anwender entdeckt und dort gemeldet. Ein Nutzer mit dem Namen DexterGenius nahm die App auseinander und untersuchte sie. Er fand heraus, dass die falsche App minimale Interneterlaubnisse hat. Es handelte sich im Prinzip um eine Softwarehülle, die in einem zweiten Schritt whatsapp.apk herunterladen konnte. Wenn sie das bewerkstelligen konnte, wäre im Prinzip auch der Download anderer bösartiger Codes möglich.

Nikolaos Chrysaidos ein Sicherheitsforscher von Avast, entdeckte noch ein paar andere gefälschte WhatsApp-Programme. Schon in der Vergangenheit hatte er mehrere andere gefälschte Apps im Google Play gefunden, darunter gefälschte Facebook Messenger-Apps. Ein neuer Trend geht derzeit um unter zwielichtigen Entwickler. Sie verstecken Programme, die dazu verwendet werden, Kryptowährung zu schürfen und dafür die CPUs der infizierten Geräte nutzen. Natürlich ganz ohne Wissen und Zustimmung des Betroffenen. Google hat die falsche App mittlerweile aus dem Store entfernt und den Entwickler gesperrt.

Unicode-Zeichen für bösartige Software und Links

Obwohl Google‘s Play Store als sicher eingestuft wird zum Herunterladen von Android-Apps, hat das Unternehmen Problem sein App-Angebot malwarefrei zu halten. Kontinuierlich arbeiteten die Google-Entwickler an neuen Sicherheitsanwendungen. Im Mai ging Google Play Protect online. Es behält alle heruntergeladenen Inhalte im Auge und scannt sie ständig auf verdächtige Aktionen. Damit kann also überwacht werden, ob vermeintlich gute Apps zu einem späteren Zeitpunkt Malware nachladen. Laut Google scannt Play Protect jeden Tag bis zu 500 Milliarden Apps.

Zum Thema Unicode-Codierung für Steuerzeichen gibt es auch einen Trend. Immer öfter wird die Methode genutzt, um bösartige Apps und andere Programmerweiterungen im Google Play Store und im Chrome Store einzuschmuggeln. Und auch, um den Malwarescannern von Google zu entgehen.

Der Sicherheitsexperte Dr. Johannes Ullrich sieht bösartige Apps, die sich als populäre Apps ausgeben, im Google Play Store als ein großes Problem. Er rät allen sehr vorsichtig zu sein, was heruntergeladen wird. Diese gefälschte WhatsApp-Anwendung hatte über eine Million Downloads, was natürlich dazu führt, dass noch mehr Benutzer glauben, dass sie “sicher” sei. Der einzige Unterschied war ein unsichtbarer Unicode-Bereich, der dem Namen des Entwicklers hinzugefügt wurde. Eine Sache, die Google als Indikator für böswillige Absicht erkennen sollte.

Vorsichtig sein beim Herunterladen von allen Apps heißt: Genau hinschauen, genau lesen. Den Millionen Opfern dieser falschen App hätte ins Auge stechen müssen, dass die weltweit genutzte WhatApp Anwendung „nur“ eine Million Downloadzahlen, die angezeigt wurden. Die echte WhatsApp Version hat weit über eine Milliarde! Im Kommentarbereich der falschen App hatten Nutzer sich schon über die Werbung beschwert – beim Durchlesen von nur ein paar Nutzerhinweisen, wäre aufgefallen, dass hier etwas nicht stimmt.

Artikel von zdnet.com, 06.11.2017: Fake WhatsApp app fooled million Android users on Google Play: Did you fall for it?
Artikel von theregister.co.uk, 03.11.2017: Over a million Android users fooled by fake WhatsApp app in official Google Play Store
Artikel von threatpost.com, 06.11.2017: 1M Downloads Later, Google Pulls Phony WhatsApp From Google Play

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen