Hunderte iOS- und Android-Apps entpuppen sich als klassisches Phishing

Obwohl anscheinend jede App vor der Veröffentlichung in den offiziellen Down­load-Platt­for­men der mobilen Systeme ausgiebig geprüft wird, rutschen immer wieder betrügerische Angebote durch. Das zeigt eine aktuelle Sammlung von Meta-Experten. Die Security-Leute des Social-Media-Konzerns haben über 400 bösartige Apps auf Android und iOS identifiziert, die es vor allem darauf abgesehen haben, Anmeldeinformationen von Facebook-Nutzern zu stehlen. Sämtliche Apps, die sich in dem Bericht des Meta-Teams wiederfanden, wurden über Googles Play Store und Apples App Store vertrieben.

Die Anbieter versuchten Opfer zu finden, indem sie mehr oder weniger nützliche Dienste in einer ganzen Reihe von Rubriken suggerierten. Zur Sammlung gehörten Fotobearbeitungsprogramme, Musikplayer, VPN-Clients, nützliche Apps wie Taschenlampen, Gesundheits- und Lifestyle-Apps, Business-Apps und sogar einige gefälschte Spiele. Beispiele für die genannten Apps

Bessere Sicherung nötig

Wenn ein Nutzer eine bösartige App herunterlud und startete, wurde er aufgefordert, sich bei seinem Facebook-Konto anzumelden, um auf die Funktionen der App zugreifen zu können. Dabei handelte es sich aber um klassisches Phishing. Die Daten wurden dann an den Angreifer geschickt, der somit vollen Zugriff auf das Konto des Users erlangen konnte. Das kompromittierte Profil konnte genutzt werden, um auf private Informationen zuzugreifen oder Spam-Nachrichten an Freunde zu senden. Theoretisch sind dadurch auch andere Benutzer gefährdet.

Die Sicherheits-Experten Metas raten Nutzern aufgrund der Funde dazu, ihr Facebook-Konto ordentlich zu sichern und insbesondere die Möglichkeiten zur Zwei-Faktor-Authentifizierung zu verwenden. Das gilt hauptsächlich für User, die in der letzten Zeit in einer App eine Anmeldung bei Facebook vollzogen haben. Die Funde wurden an Google und Apple gemeldet und die fraglichen Apps sind inzwischen von den Download-Plattformen entfernt worden.

Siehe auch: