Die Apps-basierten mobilen Bedrohungen von Pokémon GO sind auch sozialer Natur

September 07, 2016
Proofpoint Staff

Die Analysten von Proofpoint gehörten zu den ersten, die mobile Malware entdeckten, die mit der extrem beliebten App Pokémon GO verbunden war. Nur wenige Tage nach der Ersteinführung Anfang Juli in Australien und Neuseeland fanden wir eine geklonte Version der App, die ein bösartiges Remote Access Tool (RAT) namens DroidJack beinhaltete. Obwohl diese Version nie in freier Wildbahn gesichtet wurde, führte sie vor Augen, wie leicht es für Cyber-Angreifer wäre, die Beliebtheit der App zu nutzen, um Malware in Umlauf zu bringen.

Gleichzeitig identifizierten andere Forscher Malware wie einen Pokémon GO-Sperrbildschirm und Scareware, die sich als Bedienungsanleitungen und Cheats für das Spiel ausgaben.

Pokémon GO ist auch sechs Wochen nach seiner Markteinführung nach wie vor eine sehr beliebte App, die für Schlagzeilen sorgt. Weder die anfänglichen Berichte über den unbeschränkten Zugang zu den Google-Konten der Anwender, noch die Geschichten über Ansammlungen von unzähligen Fans, die seltenen virtuellen Kreaturen in unseren Straßen – und manchmal auf den Straßen – hinterherjagen, haben Niantic daran gehindert, im ersten Monat, in dem das Spiel auf dem Markt war, 200 Millionen Dollar zu verdienen. Und mit der heutigen Ankündigung von Apple, dass Pokémon GO für die neue Apple Watch verfügbar sein wird, wird das Interesse am Spiel sowie seine fortlaufende Echtzeit-Verwendung weiterhin steigen.

Diese Beliebtheit hat dazu geführt, dass die App Pokémon GO ihren Weg auf Geräte gefunden hat, die mit Unternehmensnetzwerken verbunden sind. In den von uns untersuchten Unternehmen war Pokémon GO auf 4,5 % der Geräte installiert und auf einem kleinen Anteil dieser Geräte (4 %) liefen frühe Spielversionen, die über keinen Patch für die weitreichenden Rechte des Anbieters auf die Google-Konten verfügten.

Dies ist an sich nicht unbedingt ein Problem; es zeugt nur davon, wie beliebt dieses Spiel ist. Beunruhigender ist die in Unternehmensnetzwerken vorherrschende Verbreitung von mit Pokémon GO in Verbindung stehenden Apps, die ein potenzielles Risiko darstellen. Niantic warnte vor der Verwendung von Add-on-Mapp-Apps, die ihre Server nach Daten durchsuchten. Außerdem wurden in den US-Appstores im Zusammenhang mit Pokémon GO bereits drei bösartige Apps entdeckt, die an Anwender verteilt worden sind. Diese und andere „riskante“ Apps – solche mit übermäßigen Rechten oder einer schlecht gesicherten Datenverarbeitung, ohne jedoch unbedingt bösartiger Natur zu sein – begleiten die Anwender an ihren Arbeitsplatz.

Apps sind jedoch nicht der einzige Bereich, der bei beliebten Phänomenen wie Pokémon GO Anlass zur Sorge gibt. Wie uns die Olympischen Spiele von Rio vor Augen führten, sind die sozialen Medien ein fruchtbarer Boden für Betrügereien und Attacken, sobald ein Thema großes öffentliches Interesse auslöst. Pokémon GO stellt hierbei keine Ausnahme dar. Die Forscher von Proofpoint identifizierten auf Facebook, Twitter und Tumblr 543 Social-Media-Konten, die mit Pokémon GO im Zusammenhang standen. Von diesen waren 167 – d. h. über 30 % – betrügerischer Natur.

  • 44 Konten beinhalteten Links zum Herunterladen von Dateien, von denen vorgegeben wurde, dass es sich um Pokémon GO, Spielanleitungen etc. handle.
  • 79 Konten waren Betrügerkonten.
  • 21 Konten versprachen „Gratisgeschenke“.

Konten mit Downloads beeinträchtigten sowohl Mobil- als auch Desktopplattformen und lieferten Adware, Malware oder eine Software, die nicht mit der angekündigten übereinstimmte.

Die unten abgebildete betrügerische Facebook-Seite leitet z. B. die Anwender zu einem Download der Downware Trojan weiter:

fig1-pokego.png

Abbildung 1: Betrügerische Pokémon GO-Seite, die zu Malware führt

Mobile und soziale Bedrohungen treten in einem anderen Beispiel gemeinsam auf, bei dem eine betrügerische Facebook-Seite die Anwender zu einer Android-Malware führt:

fig2-pokego.png

Abbildung 2: Betrügerische Pokémon GO-Seite, die zu Android-Malware führt

Es ist wichtig, darauf hinzuweisen, dass wir nicht nur auf mindestens drei bösartige Versionen von Pokémon GO gestoßen sind, sondern dass auch die sozialen Medien die Anwender auffordern, Android-APKs zu installieren, bei denen es sich um eine Malware handelt (siehe Abb. 2). Power-ups, Handbücher und Schritt-für-Schritt-Anleitungen sind verbreitete, einfache Mittel, um die Aufmerksamkeit der Anwender zu gewinnen, da es sich um verlockende Tools handelt, die dem Anwender im Spiel helfen.

Cyber-Kriminelle warten für Pokémon GO mit einer ganzen Reihe von Attacken auf: Kompromittierte Apps, betrügerische Seiten in den sozialen Medien und das Phishing in sozialen Postings zur Verbreitung mobiler Malware sind nur einige Beispiele. Die Kunden von Proofpoint Mobile Defense können sich vor Pokémon GO-Malware von Appstores und sozialen Netzwerken mithilfe einer der branchengrößten mobilen App-Analysen und mithilfe von Datenbanken für mobile Bedrohungen schützen. Diese sind in der Lage, bösartige und riskante mobile Apps aufzuspüren.

Gleichzeitig stellen die 167 betrügerischen Social-Media-Konten nur die Spitze des Eisbergs dar, wenn man die Risiken, Attacken und Malware betrachtet, denen die Anwender auf ihrer Suche nach Tipps, Level-Ups und anderen Möglichkeiten, um einen Vorteil im Spiel zu erwerben, ausgesetzt sind. Diese Konten existieren, um einen Standpunkt zu manifestieren oder den Anwendern Geld zu entlocken, wenn diese nicht vorsichtig genug sind, um die Konten zu vermeiden, oder nicht mit den entsprechenden Sicherheitstools ausgestattet sind, um sich vor Bedrohungen und Risiken der sozialen Medien zu schützen. Proofpoint bietet marktführende Lösungen für die Sicherheit der sozialen Medien an, die viele der Bedrohungen, denen Pokémon GO-Spieler ausgesetzt sind, identifizieren und blockieren und gleichzeitig die Marken der betroffenen Softwarehersteller schützen.

Die Beliebtheit von Pokémon GO hat in den sozialen und mobilen Ökosystemen viele Möglichkeiten für Cyber-Kriminelle geschaffen, um Spieler und Fans der App zu attackieren. Während sich anfangs selbst die Entwickler der App mit den übermäßigen Rechten auf Google-Konten herumschlugen, liegen nun die wahren Herausforderungen bei den Unternehmen, die Gefahr laufen, Malware und riskanten Apps ausgesetzt zu werden, die über die sozialen und mobilen Kanäle weit verbreitet werden. Auch Einzelpersonen müssen vorsichtig sein, wenn sie mit größeren Gemeinschaften interagieren, die mit Pokémon GO in Verbindung stehen, da mit dieser App zahlreiche verschiedene potenzielle Bedrohungen peripher verbunden sind.

Generell ist anzumerken, dass Pokémon GO ein großartiges Beispiel dafür ist, wie Cyber-Kriminelle weit verbreitete Phänomene nutzen, um neue Ziele zu attackieren. Lassen die Beliebtheit und Neuheit von Pokémon GO dann schließlich nach, werden die Angreifer nach dem „nächsten großen Ding“ Ausschau halten und von der Aufmerksamkeit profitieren, die z. B. dem Urlaub, den Präsidentschaftswahlen oder großen Sportereignissen etc. zukommt.

Nehmen Sie am 15. September an einem Live-Webinar teil und erfahren Sie, wie  Sie Ihr Unternehmen vor Pokémon Go Malware und Zero-Day iOS-Attacken schützen können.