Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Kopierte Apps und gefälschte Passwortmanager im Umlauf

- Warnmeldung

Die CSBW warnt vor Fake-Apps in den App-Stores von Apple und Google im Allgemeinen sowie im Speziellen vor kopierten Passwortmanager-Apps aufgrund eines Falls aus dem Februar 2024.
Mann hält Smartphone in der Hand und Ausrufezeichen als Warnung erscheint über dem Handy

© Adobe Stock

Sensible Daten durch Fake-Apps gefährdet

Cyberkriminelle schleusen immer wieder Kopien offizieller Apps in App-Stores, benennen diese leicht abweichend vom Original und versuchen darüber Zugangs- oder sonstige Nutzerdaten abzugreifen. 

Die Masche eines im Februar 2024 bekanntgewordenen Falls mit falschem Passwortmanager wird nachfolgend geschildert. 

LassPass täuscht App-Store-Nutzer

Betrüger platzierten eine Fälschung der vielgenutzten Passwortmanager-App LastPass im App-Store von Apple. Sie gaben der App ein dem Original ähnelndes Design sowie Logo und wichen in der Benennung nur in einem Buchstaben vom ursprünglichen Namen ab. Die LassPass genannte Fake-App stand bis zu ihrer Enttarnung und Entfernung durch Apple Millionen von App-Store-Nutzern einige Tage zur Verfügung. Da hier eine Passwortmanager-App vorgetäuscht wurde, ist der Fall äußerst kritisch. Sobald Betroffene ihr Hauptpasswort in LassPass eingeben und Kriminelle dieses abschöpfen, haben sie vollen Zugriff auf Anmeldedaten. Der Hersteller von LastPass veröffentlichte auf seinem Blog blog.lastpass.com eine Warnmeldung zum Vorfall. 

Bewertung der Risiken

Von Fake-Apps und insbesondere von gefälschten Passwortmanagern geht ein sehr hohes Risiko aus. Die Vorgehensweisen und Tarnversuche der Betrüger sind oft schwierig zu entlarven. Aufgrund strikterer Regeln für die Veröffentlichung von Apps im Apple-Store hätte zumindest hier das Risiko im Vergleich zum Google Play Store geringer sein sollen. Der geschilderte Fall bestätigt dies jedoch nicht. Dementsprechend ist bei der Nutzung beider App-Stores Vorsicht geboten.

Digital Markets Act erhöht Bedrohungspotenzial durch Fake-Apps

Am 7. März 2024 trat zudem der Digital Markets Act der EU in Kraft. Dieser soll den Wettbewerb bei digitalen Angeboten erweitern und zu mehr Chancengleichheit für kleine und neue Unternehmen gegenüber großen Konzernen wie Apple oder Google führen. Unter anderem muss Apple zulassen, dass Apps aus anderen Quellen als dem eigenen App-Store auf iOS-Geräten installiert werden können. Bei Android-Geräten ist dies schon länger möglich. Dieser Umstand erhöht die Gefahr durch Fake-Apps zusätzlich, da die Kontrolle und die Sicherstellung der Authentizität einer App außerhalb der App-Stores nicht mehr gleichermaßen gegeben und möglich sind. So können Fake-Apps noch leichter und unkontrollierter auf Endgeräte gelangen.

Empfehlungen der CSBW

Um sich gegen Fake-Apps und Informationsdiebstahl zu wappnen, beachten Sie folgende Empfehlungen:

Empfehlungen gegen Fake-Apps

  • Laden Sie nur Apps aus vertrauenswürdigen Quellen wie dem App-Store von Apple oder dem Google Play Store herunter.
  • Installieren Sie nur Apps von namhaften Entwicklern.
  • Wenn Sie in vertrauenswürdigen Stores nach einer App suchen, prüfen Sie Ihre Suchergebnisse genau anhand folgender Fragen: 
    • Ist der Name der App korrekt geschrieben?
    • Ist die App mit dem korrekten Logo des Herstellers versehen?
    • Entspricht die App dem offiziellen Design des Herstellers?
    • Ist der Inhalt der Rezensionen vertrauenswürdig und fallen die Rezensionen positiv aus?
    • Sind die Bewertungen der App realistisch und nachvollziehbar? 
  • Prüfen Sie die Angaben zu den App-Entwicklern und die Echtheit ihrer Namen. Bei echten Apps erhalten Sie in Suchmaschinen in der Regel Treffer zu den Entwicklern. Bei Fälschungen finden Sie meist nichts.
  • Achten Sie auf Auszeichnungen wie Top Developer oder Editor’s choice.
  • Prüfen Sie die Download-Zahlen der App.

Allgemeine Empfehlungen

  • Implementieren Sie Regeln für starke, komplexe Passwörter zum Schutz Ihrer Konten. Dasselbe Passwort sollte immer nur für einen einzigen Zugang verwendet werden.
  • Verwenden Sie Multi-Faktor-Authentifizierung (MFA).
  • Prüfen Sie regelmäßig, ob Updates zu verwendeten Apps vorliegen. Installieren Sie diese Updates schnellstmöglich.
  • Richten Sie automatische Updates für verwendete Apps ein, wenn möglich.
  • Aktivieren Sie ein Virenschutzprogramm auf Ihren mobilen Endgeräten.
    • Prüfen Sie regelmäßig, ob der Hersteller Updates bereitstellt.
    • Richten Sie automatische Updates für den Virenscanner ein oder installieren Sie verfügbare Updates schnellstmöglich.

Weitere Informationen