Ein Login mit Benutzerkennung und Passwort ist nach wie vor die am häufigsten genutzte Methode für Anmeldungen bei verschiedenen Diensten im Internet. Das traditionelle Verfahren ist allerdings nicht sehr sicher, das zeigten in den vergangenen Jahren zahlreiche Diebstähle von Datenbanken mit Zugangskennungen. Auch Phishing ist immer noch weit verbreitet und führt nicht nur in Ausnahmefällen zum Erfolg. Apple, Google, Microsoft und viele weitere Unternehmen propagieren daher mit der Zwei-Faktor-Authentisierung (2FA) seit geraumer Zeit eine deutlich sicherere Methode. Bei dieser kommen neben Bestätigungscodes, welche per SMS oder E-Mail verschickt werden, sowie Hardware-Token auch Authenticator-Apps zum Einsatz.


Betrügerische Authenticator-Apps im App Store gefunden
Im App Store findet sich eine große Auswahl derartiger Anwendungen, etwa die kostenlosen Apps von Microsoft und Google, aber auch Programme von anderen Anbietern. Wer in Apples digitalem Softwareladen nach 2FA-Apps sucht, läuft allerdings Gefahr, Betrügern zum Opfer zu fallen. Kriminellen gelang es nämlich jetzt, ihre Anwendungen im App Store zu platzieren. Diese erregten beim Review-Team des kalifornischen Unternehmens offensichtlich keinen Verdacht, obwohl sie zum Teil mit den Bezeichnungen echter und sehr bekannter Apps wie etwa „Authy“ versehen waren. Auf diese Art und Weise wurden sie bei der Suche schnell gefunden. Darüber hinaus nutzten die Betrüger Apples App-Store-Werbenetzwerk, die Anwendungen erschienen somit in den Suchergebnissen an der obersten Position.

Mit Tricks zu überteuerten Abonnements
Der Sicherheitsexperte Tommy Mysk entdeckte etliche derartiger Scam-Apps im App Store, aber auch im Google Play Store. Ziel der Betrüger ist es, die Nutzer mit Tricks zum Abschluss überteuerter Abonnements zu bewegen. Wer darauf hereinfällt, wird beispielsweise mit 48 Euro pro Jahr zur Kasse gebeten. Zumindest in einem Fall allerdings hatten es die Kriminellen neben Geld auch auf Daten abgesehen: Die App schickte jeden bei der Einrichtung eines Einmalpassworts gescannten QR-Code an den Google-Analytics-Service der Betrüger. Mysks Beobachtungen zufolge sind die Scam-Apps nahezu identisch, was den eigentlichen Code betrifft. Lediglich Bezeichnungen und Namen der Entwickler unterscheiden sich.

Apple entfernt nach Beschwerden einige Scam-Apps
Ausgelöst wurde die aktuelle Welle von betrügerischen 2FA-Apps vermutlich durch Twitters Ankündigung, künftig keine Bestätigungscodes mehr per SMS zu verschicken. Apple hat mittlerweile auf Beschwerden reagiert und einige der Scam-Anwendungen aus dem App Store entfernt. Es ist allerdings nicht auszuschließen, dass immer wieder neue derartige Programme im digitalen Softwareladen des Unternehmens auftauchen. iPhone- und iPad-Nutzer sollten daher Vorsicht walten lassen, wenn sie nach solchen Apps suchen.