Google Chrome ist weltweit der beliebteste Browser. Umso alarmierender ist es, wenn ein als „Gefährliches Chrome Update“ eingestuftes, betrügerisches Update private Daten, Nachrichten und Fotos stiehlt. Ein neuer besorgniserregender Bericht von McAfee warnt diese Woche Android-Nutzer davor, auf Nachrichtenlinks zu klicken, die Chrome-Updates auf ihren Geräten installieren. Die Malware MoqHao versteckt sich in diesen Downloads und bringt einen heimtückischen Dreh mit sich – eine Technik, die Sicherheitsforscher als neue, „sehr gefährliche Methode“ beschreiben.
Der Beginn der bösartigen Aktivität
Die Sicherheitsforscher warnen: „Sobald die App installiert ist, beginnt ihre bösartige Aktivität automatisch.“ Google ist bereits informiert und arbeitet an der Implementierung von Gegenmaßnahmen, um diese Art der Autoausführung in einer zukünftigen Android-Version zu verhindern.
Diese schädliche Kampagne verbreitet die MoqHao-Malware über SMS-Nachrichten – mit einem weiteren Dreh. Die Angreifer nutzen kurze URLs von legitimen Diensten, da „es schwierig ist, die Kurzdomain zu blockieren, weil dies alle URLs, die von diesem Dienst verwendet werden, beeinträchtigen könnte. Wenn ein Benutzer jedoch auf den Link in der Nachricht klickt, wird er durch den URL-Kürzungsdienst auf die eigentliche bösartige Website umgeleitet.
Die Forderung nach umfangreichen Benutzerberechtigungen
Einmal installiert, fordert das betrügerische Chrome-Update umfangreiche Benutzerberechtigungen, einschließlich Zugriff auf SMS, Fotos, Kontakte und sogar das Telefon selbst. Die Malware ist so konzipiert, dass sie im Hintergrund läuft und sich mit ihrem Command-and-Control-Server verbindet, Daten vom und zum Gerät verwaltet, während immer mehr Schaden angerichtet wird.
McAfee führt diese MoqHao (XLoader)-Kampagne auf die Gruppe Roaming Mantis zurück – einen Bedrohungsakteur, der normalerweise in Asien operiert. Allerdings scheint diese spezifische Kampagne auch Nutzer in Europa ins Visier zu nehmen. Eine der in die Kampagne programmierten Sprachen ist Englisch, was bedeutet, dass auch US-Nutzer im Visier sind.
Die Tarnung als legitimes Chrome-Update
Wenn man genau hinsieht, kann man erkennen, dass die Nachricht Unicode-Zeichen verwendet, um Benutzer glauben zu lassen, es handle sich um ein legitimes Chrome-Update. „Diese Technik lässt einige Zeichen fett erscheinen, aber Benutzer erkennen es visuell als ‚Chrome'“, sagt McAfee und warnt auch, dass „dies Techniken zur Erkennung von App-Namen beeinträchtigen kann, die den App-Namen (Chrome) und den Paketnamen (com.android.chrome) vergleichen.“
Die Notwendigkeit von Benutzervorsicht und guten Praktiken
Es bleibt dabei: Die goldenen Regeln für Apps und Updates sind einfach und unverändert wichtig. Bleiben Sie bei offiziellen App-Stores, vermeiden Sie Drittanbieter-Stores und ändern Sie niemals die Sicherheitseinstellungen Ihres Geräts, um eine App zu laden. Überprüfen Sie den Entwickler in der App-Beschreibung und die Legitimität der Bewertungen. Gewähren Sie einer App niemals Berechtigungen, die sie nicht benötigt, und klicken Sie niemals auf Links in E-Mails oder Nachrichten, die direkt Apps oder Updates herunterladen – nutzen Sie immer App-Stores für Installationen und Updates.
Dieser Vorfall unterstreicht einmal mehr die Notwendigkeit für ein besseres Software- und Sicherheitsupdate-Verfahren, als es heute besteht. Die fragmentierte Natur des Android-Ökosystems hat immer deutlich hinter der Befehls- und Kontrollstruktur von Apple zurückgelegen, wenn es darum geht, Geräte aktuell zu halten und auf aktuelle Probleme zu reagieren. Eine Abhängigkeit von Geräteherstellern (OEMs), um dies zu bewerkstelligen, lässt Google ohne dieselben Kontrollhebel wie Apple und das zeigt sich.
Fazit: Ein Weckruf für alle Nutzer
Dieser Vorfall ist ein Weckruf für alle Nutzer, stets wachsam zu sein und die Quellen ihrer Downloads sorgfältig zu prüfen. Die Bedrohung durch Malware ist real und entwickelt sich ständig weiter, aber mit Vorsicht und den richtigen Praktiken können Sie sich und Ihre Daten schützen.
In diesem Sinne,
herzlichst Ihr,
Mirza M. Oezoglu