Clubhouse für Android: Fake App stiehlt User-Daten

Zu Beginn des Jahres sorgte der Launch von Clubhouse für einen Hype. Jede:r war auf der Jagd nach einem Invite und schließlich dem angesagtesten Raum. in den sozialen Netzwerken drehte sich einige Tage alles um die neue Audio-Only App. Doch eine Gruppe wurde dabei komplett außen vor gelassen: Android User. Denn Clubhouse gibt es bisher nur für iOS. Nun machen sich einige Hacker dies zu Nutze. Derzeit kursiert eine Clubhouse Android App im Netz, hinter der sich eine gefährliche Malware versteckt.

Malware entdeckt: Die Fake Clubhouse App stiehlt Zugangsdaten zu Amazon, Facebook und Co.

Der Anbieter eines Antivirus-Programms ESET entdeckte die Fake App, die sich als Android Version von Clubhouse ausgibt. Sie steht sich auf einer Website, die der echten Clubhouse Website stark ähnelt, zum Download bereit. Wird der Trojaner mit der App heruntergeladen, kann dieser auf die Log-in-Daten der Geschädigten zugreifen. Auf der Liste der möglicherweise betroffenen Services stehen Finanz-, Shopping und Social Media Apps wie Twitter, WhatsApp, Facebook, Amazon, Netflix, eBay und etwa 450 weitere. Mit einem Tweet macht ESET auf das Problem aufmerksam.

The website looks like the real deal. To be frank, it is a well-executed copy of the legitimate Clubhouse website. However, once the user clicks on ‘Get it on Google Play’, the app will be automatically downloaded onto the user’s device. By contrast, legitimate websites would always redirect the user to Google Play, rather than directly download an Android Package Kit, or APK for short,

so Lukas Stefanko von ESET, der den Trojaner entdeckte. Sobald die App heruntergeladen ist, attackiert die Malware die genannten Services, wenn diese geöffnet werden. Dort öffnet sich ein Log-in-Overlay, das zur Eingabe der Daten auffordert. Statt sich in dem Service anzumelden, geben User so jedoch dem falschen Clubhouse ihre Zugangsdaten. Einige Red Flags könnten User jedoch schon vorher aufmerksam machen. So ist die Verbindung keine sichere HTTPS-Verbindung, sondern nur HTTP. Zudem nutzt das echte Clubhouse eine .com Domain, die falsche eine .mobi Domain.

Klare Ansage: Launch der Android Clubhouse App steht erst in einigen Monaten an

Doch der sicherste Hinweis darauf, dass es sich hierbei um eine Fake App handelt, ist der, dass Clubhouse für Android bisher noch nicht offiziell gelauncht ist. Wie CNN zuletzt berichtete, wird die Android App noch einige Monate bis zu ihrer Veröffentlichung brauchen. Erst Ende Februar hatte Clubhouse eine Android Software Developerin eingestellt, die sich um den baldigen Launch kümmert. Bis die App bereit ist, müssen Android User sich noch eine ganze Weile gedulden und bis dahin Täuschungsversuche durch Fake Apps tunlichst ignorieren.