Android-Schädling geht auf Einkaufstour: MMarketPay.A bestellt automatisch kostenpflichtige Apps

Der Bochumer Security-Anbieter G Data warnt vor einem neuen Schädling, der Smartphones und Tablets mit Android-Betriebssystem befällt. Getarnt etwa über gefälschte, scheinbar harmlose Wetter-Apps, lädt er automatisch kostenpflichtige Programme herunter.

Diese gefährliche "GO Wheater"-App wurde von den Tätern mit MMarketPay.A infiziert und geht unbemerkt vom Anwender auf Einkaufstour. (Foto/Screenshot: G-Data)

Die Experten der G Data SecurityLabs haben den Android-Schädling »MMarketPay.A« entdeckt, der unbemerkt vom Smartphone- oder Tablet- Besitzer kostenpflichtige Apps herunterlädt. Der Schädling befindet sich in gefälschten GO Weather, Travel Sky oder E-Strong File Explorer Apps und wird über diverse chinesische Webseiten und Drittanbieter App-Marktplätze verbreitet.

Aktuell haben es die Täter auf die Kunden des weltweit größten Mobilfunkanbieters China Mobile abgesehen. Der Trojaner verschafft sich einen Zugang zum App-Store des Mobilfunkanbieters und kann so weitere Schadcode- oder kostenpflichtige Apps herunterladen und installieren. Nach Einschätzung der G Data SecurityLabs ist eine Verbreitung in Europa nicht auszuschließen.

Mit dem neuen Android-Schädling haben Online-Kriminelle einen weiteren E-Crime-Geschäftszweig für sich erschlossen. Hatten es die Schadcode-Schreiber bisher auf den Diebstahl persönlicher Daten, Spionageangriffe oder den Versand von kostenpflichtigen Premium-SMS abgesehen, es ist ihnen jetzt erstmals gelungen, sich Zugang zum App-Markt eines Mobilfunkanbieters zu verschaffen. »Wir beobachten hier die Entwicklung eines neuen und lukrativen Geschäftsmodells von Cyber-Kriminellen. Mit MMarketPay.A ist eine neue Dimension von schädlichen Apps aufgetaucht, die es auf das Ergaunern von Geld abgesehen haben«, erklärt Ralf Benzmüller, Leiter der G Data SecurityLabs. »Daher ist es aus unserer Sicht auch gut vorstellbar, dass eine abgeänderte Variante dieser Schad-App auch in Europa auftaucht und Kunden europäischer Mobilfunk-Anbieter ins Visier nimmt«.

»MMarketPay.A« verändert den sogenannten APN-Verbindungspunkt des Mobilgeräts und verbindet sich aktuell mit China Mobile. APN-Punkte auf Tablets und Smartphones werden im Regelfall von den Mobilfunkanbietern genutzt um beispielsweise Systemupdates bereit zu stellen. Der Trojaner fängt hierzu auch die Bestätigungs-Nachricht ab und stellt über einen speziellen Server eine Antwort bereit. Der Schädling ist auf diese Weise in der Lage, ohne Anmeldung jederzeit auf den App-Store von China Mobile zu zugreifen und beliebige Apps auf Kosten des Opfers einzukaufen und zu installieren.