Die kleinen Taschenmonster sind vielen noch aus den späten 90er-Jahren des vorherigen Jahrhunderts bekannt. Nun sind sie zurück, als Virtual Reality Spiel für das Smartphone! Angreifer machen sich die Popularität des brandneuen Spiels zunutze und ködern ungeduldige User mit manipulierten Apps in die Falle: Mindestens eine schadhafte App wurde schon entdeckt.
Menschen bleiben mitten in der Fußgängerzone oder am Straßenrand stehen, schauen wie gebannt auf ihre Smartphone-Displays und laufen dann weiter. Eventuell hört man auch noch ein gebrummtes „Wieder nur ein Taubsi.“. Grund des seltsam anmutenden Verhaltens ist ein Spiel namens „Pokémon Go“. Das ursprünglich von Nintendo für den Game Boy veröffentlichte Spiel feiert ein Comeback auf dem Smartphone, und zwar als „Augmented Reality“ -Spiel. Hier verschmelzen die Spielwelt und die reale Welt. Man fängt putzige kleine Tiere, muss sich dafür allerdings vor die Haustür und an die Orte begeben, an denen die virtuellen Tiere warten, ob in Parks, Fußgängerzonen oder am Straßenrand. So lassen die Spiele-Entwickler die schon damals entfachte Sammelleidenschaft für die aus Japan stammenden Tierchen wieder aufleben.
Die Begeisterung hat auch Kriminelle auf den Plan gerufen: In einem Filesharing-Netzwerk tauchte eine Variante der Installationsdatei auf, die eine Fernsteuerung für Android-Geräte enthält. Nach bisherigen Erkenntnissen, wurde das eigentliche Spiel mit DroidJack neu verpackt und dabei mit Malware angereichert. DroidJack ist ein Programm, das Android-Entwickler ganz legitim zum Packen von Apps benutzen – wie so häufig, wurde das Tool hier aber für bösartige Zwecke missbraucht.
Die in das Spiel verpackte Malware ist unter dem Namen AndroRAT bekannt und G DATA berichtete schon 2013 in seinem Mobile Malware Report H1/2013 darüber. Mit diesem RAT (Remote Access Tool, engl. Fernzugriffs-Werkzeug) lassen sich zahlreiche Informationen von einem befallenen Gerät abrufen: Neben dem Abruf von Kontaktlisten, Protokollen und GPS-Koordinaten kann ein Angreifer auch aus der Ferne das Mikrofon aktivieren und die Kamera auslösen. Gewonnene Daten können dann gewinnbringend weiterverkauft werden. Auch Erpressungsversuche anhand von Audio-Aufnahmen wären denkbar. Die von der App verlangten Berechtigungen werden bei jedem Download einer App im Play Store angezeigt. Bereits hier kann man verdächtige Apps erkennen. Aktuelle Android-Versionen fragen vor dem ersten Start noch einmal alle Berechtigungen explizit ab.
Erwähnenswert ist auch, dass die uns vorliegende Version der infizierten App mit einem abgelaufenen Zertifikat signiert wurde. Der Inhaber des Zertifikats betreibt auch einen Blog, der allerdings seit 2014 inaktiv zu sein scheint. Ob die manipulierte App von ihm in Umlauf gebracht wurde oder ob das Zertifikat gestohlen und missbräuchlich verwendet wurde, steht nicht fest – in jedem Fall ist es allerdings ungeschickt, eine App mit einem abgelaufenen Zertifikat zu signieren.
G DATA-Kunden sind vor der manipulierten App, die als „Android.Trojan.Kasandra.B“ erkannt wird, geschützt.
Generell zeigt sich hier wieder deutlich, dass Kriminelle überaus anpassungsfähig sind und auf aktuelle Trends, wie ein von vielen erwartetes Spiel, schnell reagieren.
Bei der Verbreitung setzen die Macher auf den Gedanken der Exklusivität: Ein Spieler findet die Installationsdatei für ein noch nicht offiziell veröffentlichtes, aber bereits hoch begehrtes Spiel. Einen Titel bereits installiert zu haben, den es noch nicht offiziell gibt, erfüllt manchen Spieler mit Stolz. Ebenso verhält es sich mit Musiksammlern, die sich ein bestimmtes nummeriertes Exemplar einer limitierten Version eines Albums sichern.
Der Spieler installiert die App und gibt so unter Umständen Informationen preis, die niemanden etwas angehen. Es ist zu erwarten, dass es in diesem Fall Trittbrettfahrer gibt, die ebenfalls von der aktuellen Begeisterung rund um das Spiel profitieren möchten.
Seit dem offiziellen Start des Spiels wurde Pokémon Go weltweit über 5.000.000 Mal heruntergeladen. Das Portal SimilarWeb berichtet sogar, dass Pokémon Go "zwei Tage nach dem offiziellen Release auf 5,16% der Android-Geräte in den USA installiert war." Zum Vergleich: Die überaus populäre Dating-App „Tinder“ sei auf etwas mehr als 2% der US-Geräte installiert.
Auch in der täglichen Nutzung ist Pokémon Go auf Anhieb auf Rekordkurs: SimilarWeb erläutert, dass 60% der in den USA installierten Pokémon-Apps täglich genutzt werden. Sie vergleichen diesen Wert mit der Twitter-App und sagen voraus, dass das Spiel bald mehr täglich aktive User haben wird, als der Kurznachrichtendienst.
Umso vorsichtiger sollten man im Vorfeld der Veröffentlichung von Spielen oder Apps sein, die mit großen Erwartungen verknüpft sind.
Mit diesen sieben Tipps sind Pokémon-Fans auf der Jagd nach Taubsi und Co. sicher unterwegs: