Pokémon Go: Schnapp sie Dir alle – aber bitte nicht um jeden Preis

11.07.2016
G DATA Blog

Die kleinen Taschenmonster sind vielen noch aus den späten 90er-Jahren des vorherigen Jahrhunderts bekannt. Nun sind sie zurück, als Virtual Reality Spiel für das Smartphone! Angreifer machen sich die Popularität des brandneuen Spiels zunutze und ködern ungeduldige User mit manipulierten Apps in die Falle: Mindestens eine schadhafte App wurde schon entdeckt.

Menschen bleiben mitten in der Fußgängerzone oder am Straßenrand stehen, schauen wie gebannt auf ihre Smartphone-Displays und laufen dann weiter. Eventuell hört man auch noch ein gebrummtes „Wieder nur ein Taubsi.“. Grund des seltsam anmutenden Verhaltens ist ein Spiel namens „Pokémon Go“. Das ursprünglich von Nintendo für den Game Boy  veröffentlichte Spiel feiert ein Comeback auf dem Smartphone, und zwar als „Augmented Reality“ -Spiel. Hier verschmelzen die Spielwelt und die reale Welt. Man fängt putzige kleine Tiere, muss sich dafür allerdings vor die Haustür und an die Orte begeben, an denen die virtuellen Tiere warten, ob in Parks, Fußgängerzonen oder am Straßenrand. So lassen die Spiele-Entwickler die schon damals entfachte Sammelleidenschaft für die aus Japan stammenden Tierchen wieder aufleben.

Die manipulierte App

Die Begeisterung hat auch Kriminelle auf den Plan gerufen: In einem Filesharing-Netzwerk tauchte eine Variante der Installationsdatei auf, die eine Fernsteuerung für Android-Geräte enthält.  Nach bisherigen Erkenntnissen, wurde das eigentliche Spiel mit DroidJack neu verpackt und dabei mit Malware angereichert. DroidJack ist ein Programm, das Android-Entwickler ganz legitim zum Packen von Apps benutzen – wie so häufig, wurde das Tool hier aber für bösartige Zwecke missbraucht.

Die in das Spiel verpackte Malware ist unter dem Namen AndroRAT bekannt und G DATA berichtete schon 2013 in seinem Mobile Malware Report H1/2013 darüber. Mit diesem RAT (Remote Access Tool, engl. Fernzugriffs-Werkzeug) lassen sich zahlreiche Informationen von einem befallenen Gerät abrufen: Neben dem Abruf von Kontaktlisten, Protokollen und GPS-Koordinaten kann ein Angreifer auch aus der Ferne das Mikrofon aktivieren und die Kamera auslösen. Gewonnene Daten können dann gewinnbringend weiterverkauft werden. Auch Erpressungsversuche anhand von Audio-Aufnahmen wären denkbar. Die von der App verlangten Berechtigungen werden bei jedem Download einer App im Play Store angezeigt. Bereits hier kann man verdächtige Apps erkennen. Aktuelle Android-Versionen fragen vor dem ersten Start noch einmal alle Berechtigungen explizit ab.

Erwähnenswert ist auch, dass die uns vorliegende Version der infizierten App mit einem abgelaufenen Zertifikat signiert wurde. Der Inhaber des Zertifikats betreibt auch einen Blog, der allerdings seit 2014 inaktiv zu sein scheint. Ob die manipulierte App von ihm in Umlauf gebracht wurde oder ob das Zertifikat gestohlen und missbräuchlich verwendet wurde, steht nicht fest – in jedem Fall ist es allerdings ungeschickt, eine App mit einem abgelaufenen Zertifikat zu signieren.  

G DATA-Kunden sind vor der manipulierten App, die als „Android.Trojan.Kasandra.B“ erkannt wird, geschützt. 

Angreifer folgen gerne den Trends

Generell zeigt sich hier wieder deutlich, dass Kriminelle überaus anpassungsfähig sind und auf aktuelle Trends, wie ein von vielen erwartetes Spiel, schnell reagieren. 

Bei der Verbreitung setzen die Macher auf den Gedanken der Exklusivität: Ein Spieler findet die Installationsdatei für ein noch nicht offiziell veröffentlichtes, aber bereits hoch begehrtes Spiel. Einen Titel bereits installiert zu haben, den es noch nicht offiziell gibt, erfüllt manchen Spieler mit Stolz. Ebenso verhält es sich mit Musiksammlern, die sich ein bestimmtes nummeriertes Exemplar einer limitierten Version eines Albums sichern. 

Der Spieler installiert die App und gibt so unter Umständen Informationen preis, die niemanden etwas angehen. Es ist zu erwarten, dass es in diesem Fall Trittbrettfahrer gibt, die ebenfalls von der aktuellen Begeisterung rund um das Spiel profitieren möchten.

Seit dem offiziellen Start des Spiels wurde Pokémon Go weltweit über 5.000.000 Mal heruntergeladen. Das Portal SimilarWeb berichtet sogar, dass Pokémon Go "zwei Tage nach dem offiziellen Release auf 5,16% der Android-Geräte in den USA installiert war." Zum Vergleich: Die überaus populäre Dating-App „Tinder“ sei auf etwas mehr als 2% der US-Geräte installiert.

Auch in der täglichen Nutzung ist Pokémon Go auf Anhieb auf Rekordkurs: SimilarWeb erläutert, dass 60% der in den USA installierten Pokémon-Apps täglich genutzt werden. Sie vergleichen diesen Wert mit der Twitter-App und sagen voraus, dass das Spiel bald mehr täglich aktive User haben wird, als der Kurznachrichtendienst.

Umso vorsichtiger sollten man im Vorfeld der Veröffentlichung von Spielen oder Apps sein, die mit großen Erwartungen verknüpft sind. 

Tipps für ein sicheres Spiele-Vergnügen

Mit diesen sieben Tipps sind Pokémon-Fans auf der Jagd nach Taubsi und Co. sicher unterwegs:

  1. Installieren Sie Apps nur aus vertrauenswürdigen Quellen!
    Die beschriebene App wurde abseits des offiziellen Google Play Stores verbreitet. Somit kann sie nur dann installiert werden, wenn vorher explizit die Installation von Apps aus Drittanbieterquellen erlaubt wird.
  2. Schützen Sie Ihr Gerät mit Sicherheits-Software!
    Das Mobilgerät muss, ebenso wie der PC zuhause, mit einer guten und umfassenden Sicherheitslösung ausgestattet werden, um digitale Gefahren abzuwehren.
  3. Prüfen Sie, welche Berechtigungen eine App bei der Installation anfordert!
    Illegitime Apps versuchen oft, sich zusätzliche Berechtigungen zu verschaffen. Die Berechtigung, kostenpflichtige Dienste zu nutzen oder Audio-Aufnahmen zu starten, sollte in jedem Fall kritisch hinterfragt werden. Aktuelle Android-Versionen fragen beim ersten Start der App nochmals die Berechtigungen beim Benutzer an.
  4. Seien Sie auch offline auf der Hut, wenn Sie Pokémon jagen!
    Die reale Welt ist ein gefährlicher Ort für Trainer der digitalen Pokémons. Vor allem dann, wenn Sie auf der Suche nach einem seltenen Pokémon mitten auf der Straße stehen bleiben. Lassen Sie sich durch das Spiel nicht allzu sehr von Ihrer Umwelt ablenken!
  5. Erst denken, dann jagen!
    Spiele sind nicht perfekt und so können sich auch in diesem Spiel kleine Fehler einschleichen. Wenn Ihnen ein Taschenmonster an einem Klippenabhang angezeigt wird, verzichten Sie doch bitte lieber auf das Einsammeln und entgehen so der Gefahr von Verletzungen. Außerdem sollten Sie es vermeiden, in „dunklen Ecken“ nach den digitalen Spielkameraden zu jagen – es ist nicht auszuschließen, dass dort reale Diebe warten, die es auf Ihr Smartphone abgesehen haben.
  6. Denken Sie an Ihre Privatsphäre!
    Dadurch, dass das Spiel die GPS-Koordinaten des Smartphones oder Tablets zwingend braucht, geben Sie diese Daten permanent an die Entwickler weiter. Außerdem können im Netz gepostete Screenshots mit Kartenausschnitten anderen verraten, wo Sie sich gerade befinden.
  7. Vermeiden Sie Kostenfallen!
    In vielen Spielen kann man sich für bare Münze digitale Spielgegenstände kaufen, die einem dann im Spielverlauf Vorteile bringen. Solche Käufe können schnell unübersichtliche Ausmaße annehmen. Wir empfehlen das Abschalten sogenannter In-Game-Käufe bzw. die genaue Kontrolle der Käufe und Abrechnungen.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein