Das Sicherheitsunternehmen ESET warnt aktuell vor einer Schadsoftware für Android-Smartphones, die sich als Clubhouse-App tarnt. 

Bei der App Clubhouse handelt es sich um eine Audio-Plattform: Mithilfe dieser können Menschen in digitalen "Räumen" in Echtzeit miteinander diskutieren. Eine Video- oder Chatfunktion gibt es nicht. Die Gespräche dürfen laut den Clubhouse-Regeln niur in Ausnahmefällen aufgezeichnet werden. Einen Zugang erhält man nur per Einladung von bereits registrierten Nutzer:innen. Clubhouse wurde exklusiv für das Betriebssystem iOS entwickelt. Das heißt: Wer ein iPhone von Apple besitzt, kann die App aus dem App Store herunterladen und installieren.

Den Umstand, dass Clubhouse zwar sehr beliebt, aber offiziell nicht für Android-Smartphones verfügbar ist (zumindest aktuell nicht im Google Play Store zu finden) nutzen zurzeit Cyberkriminelle aus. Auf der Seite joinclubhouse.mobi bieten sie eine gefälschte „Clubhouse“-App für Android-Smartphones an. SiBa rät dringend dazu, die Seite nicht aufzurufen und auf keinen Fall auf „Get it on Google Play “ zu tippen!  Tut man dies doch, gelangt man nicht in den Google Play Store, sonern installiert eine Schadsoftware von Kriminellen.

Die Webseite der Kriminellen sieht der offiziellen Seite joinclubhouse.com täuschend ähnlich. Entsprechend hoch ist die Gefahr eines irrtümlichen Downloads.

Bei der App, die die Kriminellen verbreiten, handelt es sich tatsächlich um den Trojaner BlackRock. Wird diese Schadsoftware installiert und werden ihr entsprechende Berechtigungen gewährt, greift sie auf dem Smartphone gespeicherte Daten aus 458 Online-Diensten ab und sendet sie an die Kriminellen. So z.B. persönliche Zugangsdaten für Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook oder eBay. Dabei umgeht BlackRock auch die Zwei-Faktor-Authentisierung. Diese sorgt bei Aktivierung dafür, dass ein weiterer Zugangscode benötigt wird, um den Login zu bestätigen. Bei Amazon z.B. wird beim Einloggen ein zweiter Code per SMS versandt. Dem Trojaner gelingt es, diesen zweiten Code als Text (bei Amazon aus der SMS heraus) zu erfassen und zu nutzen – aber nur dann, wenn der Code auf dem gleichen Smartphone erscheint, auf dem auch er Trojaner installiert wurde.

ESET rät dazu, Apps nur aus offiziellen Stores herunterzuladen, um Risiken gering zu halten, Schadsoftware zu installieren  SiBa schließt sich dem Rat an. Die Entwickler von Clubhouse haben angekündigt, dass die App bald auch im Google Play Store zu finden ist.

Außerdem rät ESET grundsätzlich dazu, darauf zu achten, welche Arten von Berechtigungen eine App verlangt und immer genau zu prüfen, ob es immer zwingend notwendig ist, die Berechtigung zu gewähren. SiBa ergänzt: Das gilt auch für die Nutzung der offiziellen iOS-Version von Clubhouse, welche im Anschluss an die Registrierung nach einem uneingeschränkten Zugang zum Adressbuch fragt. Wird dieser gewährt, werden sämtliche Vor- und Nachnamen, Fotos und Telefonnummern an Clubhouse übertragen, die im Adressbuch gespeichert sind, was hinsichtlich des Datenschutzes fragwürdig erscheint.

+++ Update vom 21. Mai 2021 +++

Die App Clubouse ist ab sofort auch im Google Play Store verfügbar. Android-Nutzende können somit die App jetzt herunterladen und nutzen.