Die Betrüger setzen ihre App meist so auf, dass sie für den Normalnutzer wie echt erscheint. Das Logo ist dabei meist identisch. (Symbolbild, Quelle: SasinParaksa über Adobe Stock)

Der Schrecken eines jedes Smartphone-Nutzers: Fake-Apps. Sie sehen oft aus wie das Original und stehlen eure Daten. Sicherheitsexperten entdecken immer wieder betrügerische Software und versuchen uns davor zu warnen.

So berichtete neulich SonicWall Capture Labs. Das IT-Sicherheits-Team zeigt interessante Details, was nach einer solchen Installation hinter den Kulissen des infizierten Smartphones abläuft.

Populäre Apps als Falle für ahnungslose Nutzer

Im Detail: Die Entwickler hinter Android versuchen ihr Bestes, um euch vor schädlichen Viren, Trojanern und geklonten Apps zu schützen. Zu 100 Prozent ist man aber niemals sicher.

Unter Namen wie Instagram Indo zeigt das Team hinter SonicWall einen beispielhaften Einblick
Sie erklären anhand von Screenshots und Code, wie perfide solche infizierten Apps arbeiten
Vom Nutzer unbemerkt kommuniziert die App heimlich mit fremden Servern und leitet euch auf Fake-Webseiten weiter.

Meistens suchen sich die Betrüger bekannte Apps wie Instagram, X (ehemals Twitter), Snapchat, WhatsApp und auch Google als Vorlage für infizierte Apps aus. Nutzer werden über Links schnell auf echt wirkende Landingpages gelockt und geben im schlimmsten Fall Passwörter und Logins preis.

Das Beispiel: SonicWall beschreibt in Blogpost, was genau geschieht, nachdem Nutzer auf eine Betrugs-App hereingefallen sind. Das geschieht oft sehr schnell und benötigt wenige Schritte, bis erste Daten abgegriffen werden können.

Erster Schritt: Sobald eine solche Schad-App installiert worden ist, fragt sie euch meist nach zwei tiefgreifenden Berechtigungen:

Accessibility Service
Device Admin Permission (Geräteverwaltungsberechtigung)

Hier haben wir für euch ein paar Screenshots der Experten von SonicWall. Auf ihrer Seite könnt ihr sogar noch tiefer tauchen. Sie analysieren beispielsweise sogar Ausschnitte des JavaScript-Schadcodes, welchen die Apps im Geheimen aufspielen:

Die ersten zwei Bilder von Links zeigen die Abfrage der Zugriffsberechtigung. Rechts erfolgt dann die Geräteadministrator-Aktivierung. (Bildquelle: SonicWalls)

Zweiter Schritt: Sobald der ahnungslose Nutzer der App die entsprechenden Berechtigungen erteilt hat, verbindet sich diese anschließend heimlich mit einem Command-And-Control-Server.

Besonders perfide: Sobald euer Smartphone also Befehle von diesem betrügerischen Server erhält, werdet ihr bei der nächsten Google-Suche beispielsweise auf falsche HTML-Seiten geleitet. Konkret bedeutet das Fake-Login-Seiten von Paypal, Netflix, Instagram, Windows und Co.

Dritter Schritt: Sämtliche jetzt eingegebenen Daten werden ab diesem Punkt geklaut und an die Betrüger weitergeleitet. Als Laie habt ihr zu diesem Zeitpunkt wenig bis keine Chance mehr, diesen Vorgang noch zu entdecken, da es sich meist um 1:1-Nachbauten der originalen Webseite handelt.

Das Potenzial für Schaden ist (fast) grenzenlos. Je nach Umfang der Infizierung können Betrüger nicht nur eure Passwörter oder Bankdaten abgreifen, sondern erlangen unter anderem den Zugriff auf weitere Apps wie eure Handykamera.

Wie kann man sich grundsätzlich davor schützen?

Eine Faustregel sollte man als Laie unbedingt einhalten: Ladet euch keine Apps via Links oder von Drittanbietern herunter, die vorher nicht durch offizielle Sicherheitssysteme geprüft wurden.

Um etwas sicherer zu sein: Öffnet zum Download entweder den App Store (Apple) oder Google Play Store und sucht im Zweifel händisch nach der entsprechenden App, anstatt euch über Links weiterleiten zu lassen.

Bei ungeprüften Apps von Anbietern außerhalb der offiziellen Stores ist das Risiko groß, auf solche Schad-Apps hereinzufallen. Zwar rutschen auch dem App Store manchmal betrügerische Apps durchs System, doch das Risiko ist deutlich geringer.