Trotz Googles Filter rund um Play Protect kommt es immer wieder mal vor, dass Malware ihren Weg in den Play Store findet und sich dort innerhalb kürzester Zeit rasend schnell verbreitet. Über das Wochenende ist wieder ein neuer Fall aufgedeckt worden, bei dem sich eine App als der populäre Messenger WhatsApp ausgegeben hat und dabei mehr als eine Million Downloads generiere konnte. Mittlerweile ist die App wieder aus dem Play Store entfernt worden.
In letzter Zeit scheinen sich die Fälle zu häufen, bei denen es Malware in den Play Store schafft – aber ich denke, es liegt einzig und allein daran, dass diese Fälle nun mehr Aufmerksamkeit bekommen als zuvor. Durch Googles neuen Schutz fühlen sich wohl auch einige Hacker herausgefordert, die Systeme zu überlisten und es in den Play Store zu schaffen. Jetzt ist das wieder einer App gelungen, und das mit einem sehr simplen Trick.
Einige Zeit lang gab es im Play Store eine App mit der Bezeichnung „Update WhatsApp Messenger“ vom Entwickler „WhatsApp Inc.“. Der Titel war zwar etwas merkwürdig, hat aber dennoch viele Nutzer nicht davon abgehalten, die App herunterzuladen. Natürlich befand sich hinter dieser App aber nicht der erwartete Messenger, sondern einfach nur eine App die ständig im Hintergrund läuft und dem Nutzer Werbung einblendet und zum Download von anderen fragwürdigen Apps auffordert.
Außerdem soll die App versucht haben, im Hintergrund eine andere APK-Datei herunterzuladen, die „Whatsapp.apk“ lautet. Möglicherweise wollte man das echte WhatsApp direkt und unbemerkt hinterladen und den Nutzern so ein gutes Gefühl geben, die richtige App geladen zu haben. Damit die App nicht so einfach wieder deinstalliert werden kann, besitzt sie kein Icon und wird somit auch nicht im App Drawer angezeigt. Wer sich nicht mit Smartphones auskennt, dem wird die Deinstallation dann schon schwerer gemacht als normalerweise.
Laut den Screenshots aus dem Play Store wurde die App mehr als eine Million mal heruntergeladen und wurde mehr als 6.500 mal bewertet und kam auf eine endgültige Bewertung von ganzen 4,2 Sternen – und damit lediglich 0,2 weniger als die derzeitige Bewertung des echten Messengers.
Aber wie konnte die App unter dem Entwicklernamen „WhatsApp Inc.“ in den Play Store gelangen? Der Trick war ganz einfach: Der Entwickler hat einfach noch ein weiteres unsichtbares Unicode-Zeichen hinter dem Firmennamen eingegeben, so dass es für Googles Algorithmen ein anderer Name war, der aber gleich dargestellt wurde. Die App-Bezeichnung war vollkommen anders, aber hat wohl auch viele Nutzer verleitet, die stets die neuesten Funktionen wie etwa das Zurückholen von Nachrichten haben möchten.
Der interne App-Name „whyuas.fullversion.update2017“ war zwar vollkommen anders als der echte „com.whatsapp“, aber dieser ist bekanntlich im Play Store selbst nicht zu sehen und kann nur durch das Teilen des Links oder über die Browser-Versin sichtbar gemacht werden. Aber selbst das dürfte Nutzern wohl nicht helfen, die nicht ganz so tief in der Materie drin stecken wie andere. Insgesamt haben Googles Filter hier einfach versagt und sollten nun hoffentlich in Zukunft auch solche Dinge erkennen.
Die bekannten Malware-Fälle aus diesem Jahr
» System Update: Spyware im Play Store blieb jahrelang unentdeckt und wurde millionenfach installiert
» Dvmap: Trojaner aus dem Play Store hat über 50.000 Smartphones unbemerkt gerootet
» CopyCat: Neue Android-Malware befällt 14 Mio. Smartphones; Potenziell ein Drittel aller Nutzer betroffen
» Lipizzan: Google Play Protect hat einen Staatstrojaner im Play Store entdeckt
» Hunderttausende Nutzer betroffen: Google entdeckt Botnetz WireX in 300 Android-Apps
» Bis zu 2,6 Mio. Nutzer betroffen: Sicherheitsforscher entdecken acht Malware-Apps im Play Store