+

© imago/Symbolbild

Obacht, Online-Nutzer: Laut Meta sind mehr als 400 Apps mit Fake Features ausgestattet. Ihr Ziel: Login-Daten für Facebook und Instagram zu stehlen.

Berlin – Nicht jeder App sollte ihrem Nutzer auch zwangsläufig geheuer sein. Das macht das US-amerikanische Technologieunternehmen Meta deutlich, das 2022 bislang mehr als 400 schädliche Apps in Googles und Apples jeweiligen App Store ausfindig gemacht hat. Ihr Zweck: Empfindliche Nutzerdaten zu entwenden, die zum Login auf Facebook, wo mitunter auch der Zugangs-Verlust droht, und Instagram ermächtigen.

Meta warnt vor mehr als 400 mit Fake Features ausgestatteten Apps: Dritte wollen Login-Daten für Facebook und Instagram stehlen

Bei den mit Fake Features ausgestatteten Apps handelt es sich laut Meta um ganz verschieden Typen, darunter Games, VPN Services und Fotobearbeitungs-Tools. Ihre Nutzer konnten die Funktionen der jeweiligen App auch nur verwenden, wenn sie sich zuvor mit ihren Account-daten für die Meta-Plattformen eingeloggt hatten.

Inzwischen seien die Apps aber aus den Stores entfernt worden. Auf seinem eigenen Blog erklärt Meta, wie diese Malware Apps überhaupt arbeiten, was Betroffenen konkret tun können und welche Apps eigentlich von dem Problem betroffen sind. Nach der Entdeckung der über 400 schädlichen Apps seien Google und Apple umgehend informiert worden.

Mit Malware versehen Apps ermöglichen Dritten Zugriff auf Facebook- und Instagram-Accounts

Laut Meta waren vor allem Foto-Editor-Apps von den Fake Features betroffen. So ist die Rede von 42,6 Prozent der schädlichen Apps, die dieser Kategorie zugeordnet werden konnten. Grundsätzlich sei es so, dass Apps, die auf den ersten Blick nützliche Funktionen aufweisen, die Nutzer letztendlich nur dazu animieren sollen, sich mit ihren Account-Daten einzuloggen.

Wenn eine Person die bösartige App installiert, wird sie möglicherweise dazu aufgefordert, sich mit Facebook anzumelden, bevor sie die versprochenen Funktionen nutzen kann. Wenn dann die Anmeldeinformationen eingegeben werden, stiehlt die Malware den Benutzernamen und das Passwort.

Und wenn Personen, die die Malware in den Apps eingesetzt haben, an die Account-Informationen gelangen konnten, bestand die Möglichkeit, dass sie den vollständigen Zugriff auf Facebook- oder Instagram-Accounts erhielten.

Facebook- und Instagram-Daten in Gefahr: So erkennen Sie schädliche Apps

Unterschieden werden müsse zwischen legitimen Apps, die per se einen Login erfordern, und jenen Apps, die eigentlich schon vor der Nutzung jeglicher Funktionen keinen Facebook-Login erfordern dürften. Der Unterschied laut den Meta-Experten: Die schädlichen Apps fordern die Account-Daten bereits zur Nutzung der App an, nicht nur für einzelne Bereiche.

Darüber hinaus würden diese schädlichen Apps oftmals nicht die in der Beschreibung versprochenen Funktionen liefern. Zudem würden negative Bewertungen sowie geringe Download-Zahlen anzeigen, dass es sich hierbei um schädliche Apps handelt. Doch würde die App-Betreiber mitunter auch auf Fake Reviews zurückgreifen, um ihren zum Datendiebstahl entworfenen Apps den Anschein einer möglichst guten Reputation zu geben.

Schädliche Apps sind bereits auf dem Handy installiert: So muss laut Meta vorgegangen werden

Wer solch schädliche Apps entdeckt, wird dazu angehalten, sie direkt Google, Apple oder auch dem Team von Meta zu melden. Laut dem Nachrichtenunternehmen Bloomberg sind knapp über eine Million Nutzer von den als schädlich identifizierten Apps bestohlen worden. Wenn sich Dritte mit den persönlichen Account-Daten bei Facebook oder Instagram eingeloggt haben oder es zumindest den Versuch gab, der an der Zwei-Faktor-Authentifizierung scheiterte, kann Folgendes getan werden:

Darüber hinaus rät Meta dazu, Datenmissbrauch immer direkt zu melden. Auf seinem Blog listet Meta obendrein auf, welche der inzwischen entfernten Apps von den Fake Features betroffen sind. Die Darstellung ist dabei nach iOS- und Android-Apps aufgeteilt.