Eine vermeintliche Anleitung für das Kultspiel Pokémon Go wurde huntertausendfach aus dem Play Store heruntergeladen. Dahinter versteckt sich ein fieser Trojaner, der sich besonders clever zu schützen weiß. Wer drauf reinfällt, hat nur einen Ausweg.

Im Fahrwasser eines handfesten App-Hypes kommt es nicht selten vor, dass Übeltäter die Aufregung und die große Nachfrage für ihre Zwecke nutzen - zum Beispiel indem sie bösartige Apps unter leicht abgeändertem Namen anbieten, die ein ungeübtes Auge schnell für authentisch halten kann. Anfang August warnten die Sicherheitsexperten von Eset vor gefälschten Prisma-Apps. Jetzt hat es Fans des längst zum Massenphänomen gewordenen Handyspiels Pokémon Go erwischt.

Rund eine halbe Million Spieler haben einen vermeintlichen Leitfaden für das Smartphone-Game aus Googles Play Store heruntergeladen, berichtet Antivirus-Experte Kaspersky. Hinter der App "Guide for Pokémon Go" verbirgt sich jedoch ein fieser Trojaner, der Angreifern Zugriff auf die Smartphones der Opfer gibt. Die Gangster ködern ihre Opfer mit der vermeintlichen Anleitung und bringen diese dazu, die Schadsoftware selbst zu installieren, denn nur so bekommen sie überhaupt Zugriff aufs Handy.

Vorsichtiges Vorgehen

Der Trojaner sei relativ clever und habe schon rund 6000 Smartphones infiziert. Laut Kaspersky geht er dabei trickreich vor: Wenn ein Nutzer die App startet, wartet er zuerst ab, bis eine weitere App installiert oder gelöscht wird und überprüft dann, ob diese auf einer virtuellen Maschine oder tatsächlich auf einem Smartphone läuft.

Handelt es sich tatsächlich um ein Smartphone, wartet der Trojaner noch zwei Stunden und meldet sich dann mit Details zum infizierten Gerät beim Home-Server. Dazu gehören Land, Sprache, Modellbezeichnung des Geräts und Betriebssystem-Version. Erst wenn er von dort eine Antwort erhält, tritt er in Aktion und lädt zusätzliche Malware-Module herunter. Durch dieses Vorgehen können die Angreifer genau steuern, wer attackiert werden soll und wo der Trojaner die Füße still hält und sich nicht zu erkennen gibt - das gibt ihm einen zusätzlichen Schutz vor Gegenmitteln und Antivirus-Programmen.

Der Trojaner verschafft sich Root-Rechte und nistet sich auf der Systemebene des Smartphones ein. Er installiert oder löscht im Hintergrund Apps und zeigt ungefragt Werbung an. Laut Kaspersky waren seit Dezember 2015 mindestens neun Apps im Play Store mit dem gleichen Trojaner infiziert, im Juli 2016 gab es neben dem falschen Poke-Guide noch mindestens eine andere App mit dem gleichen Trojaner im Play Store. Inzwischen wurden die betroffenen Anwendungen laut Kaspersky aus dem Play Store entfernt.

Der Fremde im Smartphone

Roman Unuchek von Kaspersky warnt vor langfristigen Folgen: "Opfer des Trojaners bemerken zu Anfang vielleicht nicht einmal, dass sie immer mehr nervige und störende Werbung zu sehen bekommen. Aber die Langzeitfolgen sind viel schlimmer. Jemand anders ist im Smartphone, kontrolliert die Software und alles, was man tut und auf dem Handy speichert." Die App wurde inzwischen entfernt, nicht auszuschließen ist aber, dass sich jetzt oder in Zukunft ähnlich bösartige App-Wölfe im Schafspelz in Googles App-Store tummeln.

Wer Angst vor einer Infektion hat, sollte eine Sicherheitsanwendung auf dem Handy installieren, rät Kaspersky. Bereits infizierte Geräte können mit einem Factory-Reset gerettet werden, bei dem aber alle Daten vom Handy gelöscht werden. Nutzer sollten deshalb vorher unbedingt ein Backup ihrer Daten machen. Grundsätzlich sollte man Betriebssystem und alle Apps immer aktuell halten, Updates schnell installieren und nur Apps von vertrauenswürdigen Entwicklern installieren. Wichtig ist hier, genau hinzusehen, denn oft klingen die bösartigen Entwicklernamen absichtlich zum Verwechseln ähnlich, um unvorsichtige Nutzer aufs Glatteis zu führen.