Meta warnt vor über 400 schädlichen iOS- und Android-Apps

Es ist heutzutage gar nicht so unüblich, dass eine App Userinnen und User bittet, sich via Facebook, Google und Co. einzuloggen. Dieser Single-Sign-on-Ansatz macht es für Benutzer und Benutzerinnen viel einfacher; sie müssen sich kein zusätzliches Passwort merken. Es macht es aber auch den Cyberkriminellen einfacher.

Meta - der Mutterkonzern des sozialen Netzwerks Facebook - warnt derzeit vor Apps, die genau diese Einfachheit ausnutzen. Der Konzern entdeckte über 400 Android- und iOS-Apps, die auf diese Weise Facebook-Zugangsdaten stehlen.

Nach der Installation fordern die Applikationen dazu auf, sich via Facebook einzuloggen. Bevor man sich einloggt, kann man die App nicht nutzen. Und danach hat man ganz andere Probleme: Mit den eingegeben Zugangsdaten können die Cyberkriminellen sich vollen Zugang zum dazugehörigen Facebook-Account verschaffen, private Informationen einsehen und sämtliche Kontakte anschreiben.

Varianten

Die betrügerischen Apps kommen in vielen Ausführungen daher:

• Fast die Hälfte der gemeldeten Apps sind angebliche Fotobearbeitungs-Apps (etwa solche, die Fotos in einen Comic-Stil umwandeln sollen)

• Business- und Ad-Management-Apps

• Utility-Apps, die beispielsweise die Taschenlampen-Funktion des Handys heller machen sollen

• Mobile Games mit angeblich toller 3-D-Grafik

• VPN-Applikationen

• Health- und Lifestyle-Apps wie Fitness-Tracker oder Hororskope

Die meisten der über 400 gefundenen Apps sind Fake-Fotobearbeitungs-Apps. (Source: Meta)

Einige der Apps umgingen auch die Sicherheitsmassnahmen von Apple und Google: Sie waren in den offiziellen App-Stores der Anbieter erhältlich. Negative Bewertungen in den Stores glichen die Cyberkriminellen mit gefälschten Reviews aus.

Gegenmassnahmen

Meta informierte die beiden Unternehmen, woraufhin diese die schädlichen Apps aus den App-Stores entfernten. Meta kontaktierte auch betroffene Personen, deren Kontaktdaten möglicherweise kompromittiert wurden.

Der Konzern empfiehlt, Apps nur mit Vorsicht herunterzuladen und auf verdächtige Anzeichen zu achten. Darunter folgende:

• Apps, die man nur nutzen kann, wenn man sich anmeldet. Insbesondere wenn eine Anmeldung nicht nötig wäre - beispielsweise bei Fotobearbeitungs-Apps.

• Die Reputation der App. Bevor man eine Applikation herunterlädt, sollte man sich die Anzahl Downloads und die Bewertungen ansehen - auch die negativen Reviews.

• Hält die App, was sie verspricht - vor und nach dem Anmelden?

Wer eine der schädlichen Apps heruntergeladen hat, sollte diese laut Meta löschen und unverzüglich ein neues Passwort für seine Accounts einstellen. Ferner könne man die eigene Sicherheit erhöhen, indem man eine Multifaktor-Authentifizierung verwendet und prüft, wer sich wann von wo aus und mit welchen Geräten auf das eigene Konto eingeloggt hat.

Die Mitteilung von Meta enthält auch eine Liste mit allen gefundenen schädlichen Apps.

Metas eigene App ist zurzeit auch im Fokus von Cybersecurity-Experten. Die Apps des Konzern sollen angeblich Anti-Trackingmassnahmen aushebeln und so das Surfverhalten von Nutzerinnen und Nutzer gegen deren Willen verfolgen. Ende September wurde das Unternehmen deswegen verklagt, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.